사이버 보안 기업 Cyble이 디도스(DDoS) 및 랜섬웨어 공격이 가능한 Borat이라는 이름의 새로운 원격 접근 트로이 목마(RAT)를 발견했다.
Cyble에 따르면, 해커는 Borat을 통해 시스템 접근과 원격 제어를 할 수 있으며, 디도스 및 랜섬웨어 공격을 비롯한 특정 공격을 수행하는데 필요한 악성 코드 바이너리(컴퓨터 파일)에도 접근할 수 있다.
Cybler는 Borat가 빌더 바이너리, 여러 모듈, 서버 인증서 등을 포함하는 패키지로 제공된다고 말했는데 이는 모듈식 구조를 가지고 있으며, 각 모듈은 특정 기능을 구현하는 것으로 알려졌다. Cyble에서 분석한 Borat RAT의 모듈 목록은 다음과 같다.
▲Keylogger: 피해자의 컴퓨터에서 키 입력을 모니터링하고 저장하는 역할을 한다.
▲랜섬웨어: 피해자의 파일을 암호화하고 몸값을 요구하기 위해 피해자의 컴퓨터에 랜섬웨어 페이로드를 전달한다.
▲디도스: 이 모듈은 디도스 공격을 수행하는 데 사용된다.
▲오디오 녹음: 이 모듈은 컴퓨터의 오디오를 녹음할 수 있다. 처음에는 피해자의 컴퓨터에 마이크가 있는지 확인한다. 연결된 마이크를 찾으면 RAT는 모든 오디오를 녹음하고 micaudio.wav라는 파일에 저장한다.
▲웹 캠 녹화: 이 모듈은 가능한 경우 웹 캠에서 비디오를 녹화한다.
▲원격 데스크톱: 운영자가 파일 조작 및 코드 실행을 포함한 여러 작업을 수행할 수 있도록 숨겨진 원격 데스크톱을 설정한다.
▲역방향 프록시: 역방향 프록시를 설정하여 원격 운영자의 신원이 노출되는 것을 방지한다.
▲장치 정보: 이 모듈은 기본 시스템 정보를 수집한다.
▲프로세스 할로잉: 프로세스 할로잉 기술을 사용하여 합법적인 프로세스에 악성 코드를 삽입한다.
▲자격 증명 도용: Chromium 기반 웹 브라우저에 저장된 계정 자격 증명을 도용할 수 있다.
▲Discord 토큰 훔치기: 감염된 시스템에서 Discord 토큰을 훔칠 수 있다.
또한 Borat은 추가로 ▲오디오 재생 ▲마우스 버튼 교체 ▲바탕 화면 표시/숨기기 ▲작업 표시줄 표시/숨기기 ▲마우스 유지 ▲웹캠 조명 활성화/비활성화 ▲장치 정지 ▲모니터 끄기 ▲빈 화면 등의 시스템 제어도 할 수 있다.
Cyble 연구팀은 “Borat RAT는 원격 액세스 트로이 목마, 스파이웨어 및 랜섬웨어의 강력하고 고유한 조합으로, 이에 의해 손상된 모든 시스템에 대한 3중 위협이 된다. 또한 오디오를 녹음하고 웹 캠을 제어하고 전통적인 정보 도용 행위도 가능하다. 디도스 공격을 수행하기 위한 추가 기능은 조직과 개인이 경계해야 하는 훨씬 더 강한 위협이 된다. 우리는 Borat RAT의 행동을 면밀히 모니터링하고 있으며 전 세계 고객과 사람들에게 계속 알릴 것이다”라고 말했다.
이 기사는 글로벌 정보보안 블로그 ‘시큐리티 어페어즈(Secutiry Affairs)’의 설립자이자 유럽네트워크정보보안기구(ENISA) 소속 보안 전문가 피에루이지 파가니니(Pierluigi Paganini)와의 공식 파트너십을 통해 작성됐습니다.
