[데일리시큐][긴급] 한국 주재 외국 대사관 겨냥한 XenoRAT 악성코드 공격 포착

내용 요약

한국에 주재하는 외국 대사관들을 대상으로 수개월간 정교한 사이버 첩보 공격이 발생했습니다. Trellix는 최소 19차례의 스피어피싱 공격을 통해 공격자가 깃허브를 C2 채널로 활용하여 XenoRAT 악성코드를 배포했다고 밝혔습니다. 공격은 2023년 3월부터 7월까지 지속적으로 진행되었습니다. XenoRAT은 윈도우 기반의 RAT으로, 공격자가 피해자의 PC를 원격으로 제어할 수 있게 합니다.

핵심 포인트

• 외국 대사관을 대상으로 한 정교한 사이버 첩보 공격 발생 ️‍♀️
• 스피어피싱 공격을 통해 XenoRAT 악성코드 배포
• 깃허브를 C2 채널로 활용
• 윈도우 기반 RAT인 XenoRAT을 사용하여 피해자 PC 원격 제어

기술 세부 내용

1️⃣ 스피어피싱 (Spear Phishing)

• 특정 대상을 겨냥한 피싱 공격으로, 일반적인 피싱보다 훨씬 정교하고 개인화된 정보를 사용하여 신뢰를 얻습니다.
• 공격 대상의 이름, 직책, 소속, 이메일 주소 등 개인 정보를 활용하여 마치 신뢰할 수 있는 발신인으로부터 온 것처럼 위장합니다.
• 악성 링크 클릭이나 악성 첨부 파일 다운로드를 유도하여 악성코드를 감염시키거나 개인 정보를 탈취합니다.
• 이번 공격에서는 최소 19차례의 스피어피싱 공격이 발생했습니다. 횟수만큼 공격이 조직적이고 지속적으로 이루어졌음을 시사합니다. 횟수가 많다는 것은 공격 그룹이 여러 번 시도하여 목표를 달성하려 했다는 것을 의미합니다.

2️⃣ 깃허브 (GitHub)

• 소프트웨어 개발 프로젝트를 위한 웹 기반의 버전 관리 서비스입니다.
• 코드 저장소 호스팅, 협업 도구, 이슈 추적, 프로젝트 관리 등 다양한 기능을 제공합니다. ️
• 공격자는 깃허브를 C2 채널로 활용하여 악성코드를 배포하고 명령을 전송했습니다. 이는 깃허브의 정상적인 기능을 악용한 것으로, 탐지 및 차단을 어렵게 만듭니다. ️
• 깃허브는 개발자들에게 친숙한 플랫폼이므로, 이를 악용한 공격은 사용자의 경계심을 낮출 수 있습니다.

3️⃣ C2 (Command and Control) 채널

• 공격자가 감염된 시스템을 제어하고 명령을 내리는 데 사용하는 통신 채널입니다.
• C2 채널은 공격자와 감염된 시스템 간의 양방향 통신을 가능하게 하여, 공격자가 악성코드를 업데이트하거나 데이터를 탈취할 수 있도록 합니다.
• 이번 공격에서는 깃허브가 C2 채널로 사용되었으며, 이는 깃허브의 정상적인 트래픽과 구별하기 어렵게 만듭니다.
• C2 채널을 탐지하고 차단하는 것은 사이버 공격 방어의 핵심 요소 중 하나입니다. ️

4️⃣ XenoRAT

• 윈도우 기반의 원격 액세스 트로이 목마 (Remote Access Trojan, RAT) 입니다.
• 공격자가 피해자의 PC를 원격으로 제어할 수 있도록 설계되었습니다. ️
• 파일 관리, 프로세스 관리, 키로깅, 화면 캡처, 웹캠 제어 등 다양한 악성 기능을 수행할 수 있습니다. ️
• XenoRAT은 은밀하게 시스템에 침투하여 사용자의 활동을 감시하고 데이터를 탈취할 수 있습니다.
• RAT은 백도어의 한 종류로, 시스템에 대한 무단 액세스를 허용하여 개인 정보 유출 및 시스템 손상을 초래할 수 있습니다.

 

출처: https://www.dailysecu.com/news/articleView.html?idxno=168891