¡°´ç»çÀÚ »çÀÌ¿¡ ÇùÀÇÀÌÈ¥ ÇÕÀǵŠȮÀÎÀ» ±¸ÇÕ´Ï´Ù¡±... QuasarRAT À¯Æ÷
±è¼öÅ° ÇØÄ¿Á¶Á÷, ¡®ÇùÀÇ ÀÌÈ¥ ÀÇ»ç È®ÀÎ ½Åû¼¡¯·Î À§ÀåÇØ À¯Æ÷ Áß
[º¸¾È´º½º ±è¿µ¸í ±âÀÚ] ÁÖ·Î ÇÇ½Ì ¶Ç´Â ½ºÆÔ ¸ÞÀÏÀ̳ª Å©·¢ ÇÁ·Î±×·¥À» ÅëÇØ À¯Æ÷µÆ´ø Quasar RAT ¾Ç¼ºÄڵ尡 ¸ÅÅ©·Î°¡ Æ÷ÇÔµÈ ¿öµå ÆÄÀÏÀ» ÅëÇØ »õ·Ó°Ô À¯Æ÷µÈ Á¤È²ÀÌ Æ÷ÂøµÅ »ç¿ëÀÚµéÀÇ ÁÖÀÇ°¡ ÇÊ¿äÇÏ´Ù. ÃÖ±Ù ¹ß°ßµÈ ¾Ç¼ºÄÚµå´Â ¡®ÇùÀÇÀÌÈ¥ÀÇ»çÈ®ÀνÅû¼¡¯¶ó´Â ¸íĪÀÇ ¿öµåÆÄÀÏ·Î À§ÀåÇÏ°í ÀÖÀ¸¸ç, ¡®½ÅûÀÇ ÃëÁö¡¯·Î ¡°ÀÌÈ¥Àǻ簡 È®ÀεÆÀ¸´Ï È®ÀÎÀ» ±¸ÇÕ´Ï´Ù¡±¶ó´Â »ó¼¼ÇÑ ¹®±¸¿Í ÇÔ²² È®ÀαâÀÏ, ´ã´çÀÚ ¼¸í¶õ µîÀÌ ¼¼¼¼ÇÏ°Ô ¸¸µé¾îÁ³´Ù.
À̽ºÆ®½ÃÅ¥¸®Æ¼ ½ÃÅ¥¸®Æ¼´ëÀÀ¼¾ÅÍ(ÀÌÇÏ ESRC)´Â À̹ø¿¡ ¹ß°ß, ¼öÁýµÈ ¾Ç¼ºÄÚµå »ùÇÃÀÌ ¡®ÇùÀÇ ÀÌÈ¥ ÀÇ»ç È®ÀÎ ½Åû¼¡¯¶ó´Â ¸íĪÀÇ ¿öµåÆÄÀÏ·Î À§ÀåÇÏ°í ÀÖÀ¸¸ç, ¾Ç¼º ¸ÅÅ©·Î°¡ Æ÷ÇÔµÆ´Ù°í ¹àÇû´Ù. ÀÌ·¸°Ô À¯Æ÷µÈ ¾Ç¼ºÄÚµå Quasar RATÀº °°Àº °ø°£¿¡ ÀÖÁö ¾ÊÀº °ø°ÝÀÚ°¡ ¿ø°Ý Á¢±ÙÀÌ °¡´ÉÇϵµ·Ï Çã¿ëÇÏ´Â ¾Ç¼ºÄÚµå´Ù. ÀÌ´Â »ç¿ëÀÚ °èÁ¤ ¹× »ç¿ëÀÚ È¯°æ Á¤º¸ ¼öÁýÀº ¹°·Ð ¿ø°Ý ÄÚµå ½ÇÇà°ú ÇÔ²² ÆÄÀÏ ¾÷¡¤´Ù¿î·Îµå µî Ãß°¡ ¾Ç¼ºÇàÀ§°¡ °¡´ÉÇÏ´Ù.
»ç¿ëÀÚ°¡ ÆÄÀÏÀ» ½ÇÇàÇÏ¸é ¡®ÄÜÅÙÃ÷ »ç¿ë¡¯ ¹öÆ° Ŭ¸¯À» À¯µµÇϸç, ¡®ÄÜÅÙÃ÷ »ç¿ë¡¯ ¹öÆ°À» ´©¸£¸é ¡®ÇùÀÇÀÌÈ¥ÀÇ»çÈ®ÀνÅû¼¡¯ ¾ç½ÄÀ» º¸¿©ÁÖ¸ç Á¤»ó ÆÄÀÏÀÎ °Íó·³ À§ÀåÇÑ´Ù. ÇÏÁö¸¸ ¹é±×¶ó¿îµå¿¡¼´Â AutoOpen() ÇÔ¼ö¿¡ ÀÇÇØ »ç¿ëµÈ ¿öµå ÆÄÀÏ¿¡ Æ÷ÇÔµÈ ¸ÅÅ©·Î°¡ ÀÚµ¿ ½ÇÇàµÇ°í ÀÖ´Ù.
ÁÖ¸ñÇÒ¸¸ÇÑ Á¡Àº ÀϹÝÀûÀÎ ¿öµå ÆÄÀÏ°ú´Â ´Ù¸£°Ô ÇØ´ç ÆÄÀÏ Çü½ÄÀº ¡®.doc¡¯ ÆÄÀÏÀÌÁö¸¸ ¡®.hwp¡¯ ÆÄÀÏ Çü½ÄÀ¸·Î º¸Àδٴ °ÍÀÌ´Ù. ÀÌ´Â °ø°ÝÀÚµéÀÌ ¹ý¿ø ÀüÀڹοø¼¾ÅÍ¿¡¼ Á¦°øµÇ´Â ÇÑ±Û ÆÄÀÏ(.hwp)À» ¿öµå ÆÄÀÏ(.doc)·Î ÀúÀåÇØ À̹ø °ø°Ý µðÄÚÀÌ(decoy, À¯ÀÎ) ÆÄÀÏ·Î »ç¿ëÇßÀ½À» ÃßÁ¤ÇÒ ¼ö ÀÖ´Ù.
¸ÅÅ©·Î°¡ ½ÇÇàµÇ¸é °ø°ÝÀÚ°¡ ¹Ì¸® ¼³Á¤ÇØ ³õÀº ¸í·ÉÁ¦¾î(C&C) ¼¹ö¿¡ Á¢¼ÓÇØ ¾Ç¼º ÆÄÀÏÀ» version.ini ÆÄÀϸíÀ¸·Î ÀúÀåÇÏ°í ½ÇÇàÇÑ´Ù. version.ini ÆÄÀÏÀÌ ½ÇÇàµÇ¸é version.ini, runps.vbs, conf.ps1 ÆÄÀÏÀ» »ý¼ºÇÏ°í ½ÇÇàÇÏ°Ô µÈ´Ù.
version.ini ÆÄÀÏÀº ½ÇÇà ÈÄ ÀÛ¾÷ ½ºÄÉÁÙ·¯ µî·ÏÀ» ÅëÇØ »ç¿ëÀÚ PC¿¡¼ÀÇ ¿¬¼Ó¼ºÀ» È®º¸ÇÑ´Ù. À̾î runps.vbs´Â ½ÇÇà ÈÄ conf.ps1¸¦ ½ÇÇàÇϸç, ½ÇÇàµÈ conf.ps1 ÆÄÀÏÀº °ø°ÝÀÚ°¡ ÁöÁ¤ÇØ ³õÀº C&C¿¡ Á¢¼ÓÇØ Ãß°¡ ÆÄÀÏÀ» ³»·Á¹Þ´Â´Ù. ±× ÀÌÈÄ ¸î Â÷·Ê C&C Á¢¼Ó ¹× ÆÄÀÏ ´Ù¿î·Îµå¸¦ ¹Ýº¹ÇÑ ÈÄ ÃÖÁ¾À¸·Î Quasar RATÀ» ½ÇÇàÇÏ°Ô µÈ´Ù.
À̽ºÆ®½ÃÅ¥¸®Æ¼ ESRC´Â À̹ø ¾Ç¼ºÄÚµå¿Í °ü·ÃÇØ ¿©·¯ ÁöÇ¥µéÀ» ºÐ¼®ÇÑ °á°ú, À̹ø °ø°ÝÀº ºÏÇÑÀÌ ¹èÈÄ¿¡ ÀÖ´Â APT Á¶Á÷ÀÇ ¡®½º¸ðÅ© ½ºÅ©¸°(Smoke Screen)¡¯ °ø°Ý È°µ¿ÀÇ ¿¬Àå¼±À¸·Î °á·ÐÁö¾ú´Ù. ESRC °ü°èÀÚ´Â ¡°ÃÖ±Ù ºÏÇÑ Á¤ÂûÃѱ¹ÀÇ Áö¿øÀ» ¹Þ´Â ÇØÄ¿ Á¶Á÷ÀÇ ±¹³» °ø°ÝÀÌ °Å¼¼Áö°í ÀÖ´Ù¡±¸ç ¡°»ç¿ëÀÚµéÀº Àǽɽº·¯¿î ÆÄÀϵéÀÇ ½ÇÇàÀ» Áö¾çÇØ¾ß Çϸç, ¾Ë¾à°ú °°Àº ¹é½Å ¼³Ä¡¸¦ ÅëÇØ ¾ÈÀüÇÑ PC ȯ°æÀ» ¸¸µé¾î¾ß ÇÑ´Ù¡±°í ¹àÇû´Ù.
[±è¿µ¸í ±âÀÚ(boan@boannews.com)]
±è¼öÅ° ÇØÄ¿Á¶Á÷, ¡®ÇùÀÇ ÀÌÈ¥ ÀÇ»ç È®ÀÎ ½Åû¼¡¯·Î À§ÀåÇØ À¯Æ÷ Áß
[º¸¾È´º½º ±è¿µ¸í ±âÀÚ] ÁÖ·Î ÇÇ½Ì ¶Ç´Â ½ºÆÔ ¸ÞÀÏÀ̳ª Å©·¢ ÇÁ·Î±×·¥À» ÅëÇØ À¯Æ÷µÆ´ø Quasar RAT ¾Ç¼ºÄڵ尡 ¸ÅÅ©·Î°¡ Æ÷ÇÔµÈ ¿öµå ÆÄÀÏÀ» ÅëÇØ »õ·Ó°Ô À¯Æ÷µÈ Á¤È²ÀÌ Æ÷ÂøµÅ »ç¿ëÀÚµéÀÇ ÁÖÀÇ°¡ ÇÊ¿äÇÏ´Ù. ÃÖ±Ù ¹ß°ßµÈ ¾Ç¼ºÄÚµå´Â ¡®ÇùÀÇÀÌÈ¥ÀÇ»çÈ®ÀνÅû¼¡¯¶ó´Â ¸íĪÀÇ ¿öµåÆÄÀÏ·Î À§ÀåÇÏ°í ÀÖÀ¸¸ç, ¡®½ÅûÀÇ ÃëÁö¡¯·Î ¡°ÀÌÈ¥Àǻ簡 È®ÀεÆÀ¸´Ï È®ÀÎÀ» ±¸ÇÕ´Ï´Ù¡±¶ó´Â »ó¼¼ÇÑ ¹®±¸¿Í ÇÔ²² È®ÀαâÀÏ, ´ã´çÀÚ ¼¸í¶õ µîÀÌ ¼¼¼¼ÇÏ°Ô ¸¸µé¾îÁ³´Ù.
¡ã¡®ÄÜÅÙÃ÷ »ç¿ë¡¯ ¹öÆ° Ŭ¸¯ À¯µµ[ÀÚ·á=À̽ºÆ®½ÃÅ¥¸®Æ¼ ESRC]
À̽ºÆ®½ÃÅ¥¸®Æ¼ ½ÃÅ¥¸®Æ¼´ëÀÀ¼¾ÅÍ(ÀÌÇÏ ESRC)´Â À̹ø¿¡ ¹ß°ß, ¼öÁýµÈ ¾Ç¼ºÄÚµå »ùÇÃÀÌ ¡®ÇùÀÇ ÀÌÈ¥ ÀÇ»ç È®ÀÎ ½Åû¼¡¯¶ó´Â ¸íĪÀÇ ¿öµåÆÄÀÏ·Î À§ÀåÇÏ°í ÀÖÀ¸¸ç, ¾Ç¼º ¸ÅÅ©·Î°¡ Æ÷ÇÔµÆ´Ù°í ¹àÇû´Ù. ÀÌ·¸°Ô À¯Æ÷µÈ ¾Ç¼ºÄÚµå Quasar RATÀº °°Àº °ø°£¿¡ ÀÖÁö ¾ÊÀº °ø°ÝÀÚ°¡ ¿ø°Ý Á¢±ÙÀÌ °¡´ÉÇϵµ·Ï Çã¿ëÇÏ´Â ¾Ç¼ºÄÚµå´Ù. ÀÌ´Â »ç¿ëÀÚ °èÁ¤ ¹× »ç¿ëÀÚ È¯°æ Á¤º¸ ¼öÁýÀº ¹°·Ð ¿ø°Ý ÄÚµå ½ÇÇà°ú ÇÔ²² ÆÄÀÏ ¾÷¡¤´Ù¿î·Îµå µî Ãß°¡ ¾Ç¼ºÇàÀ§°¡ °¡´ÉÇÏ´Ù.
¡ã¡®ÄÜÅÙÃ÷ »ç¿ë¡¯ ¹öÆ° Ŭ¸¯ ÈÄ º¸ÀÌ´Â ÆäÀÌÁö ¹× Á¤»ó ÆÄÀÏ(ÁºÎÅÍ)[ÀÚ·á=À̽ºÆ®½ÃÅ¥¸®Æ¼ ESRC]
»ç¿ëÀÚ°¡ ÆÄÀÏÀ» ½ÇÇàÇÏ¸é ¡®ÄÜÅÙÃ÷ »ç¿ë¡¯ ¹öÆ° Ŭ¸¯À» À¯µµÇϸç, ¡®ÄÜÅÙÃ÷ »ç¿ë¡¯ ¹öÆ°À» ´©¸£¸é ¡®ÇùÀÇÀÌÈ¥ÀÇ»çÈ®ÀνÅû¼¡¯ ¾ç½ÄÀ» º¸¿©ÁÖ¸ç Á¤»ó ÆÄÀÏÀÎ °Íó·³ À§ÀåÇÑ´Ù. ÇÏÁö¸¸ ¹é±×¶ó¿îµå¿¡¼´Â AutoOpen() ÇÔ¼ö¿¡ ÀÇÇØ »ç¿ëµÈ ¿öµå ÆÄÀÏ¿¡ Æ÷ÇÔµÈ ¸ÅÅ©·Î°¡ ÀÚµ¿ ½ÇÇàµÇ°í ÀÖ´Ù.
ÁÖ¸ñÇÒ¸¸ÇÑ Á¡Àº ÀϹÝÀûÀÎ ¿öµå ÆÄÀÏ°ú´Â ´Ù¸£°Ô ÇØ´ç ÆÄÀÏ Çü½ÄÀº ¡®.doc¡¯ ÆÄÀÏÀÌÁö¸¸ ¡®.hwp¡¯ ÆÄÀÏ Çü½ÄÀ¸·Î º¸Àδٴ °ÍÀÌ´Ù. ÀÌ´Â °ø°ÝÀÚµéÀÌ ¹ý¿ø ÀüÀڹοø¼¾ÅÍ¿¡¼ Á¦°øµÇ´Â ÇÑ±Û ÆÄÀÏ(.hwp)À» ¿öµå ÆÄÀÏ(.doc)·Î ÀúÀåÇØ À̹ø °ø°Ý µðÄÚÀÌ(decoy, À¯ÀÎ) ÆÄÀÏ·Î »ç¿ëÇßÀ½À» ÃßÁ¤ÇÒ ¼ö ÀÖ´Ù.
¡ã¿öµåÆÄÀÏ ³» Æ÷ÇԵŠÀÖ´Â ¾Ç¼º ¸ÅÅ©·Î ÄÚµå ÀϺÎ[ÀÚ·á=À̽ºÆ®½ÃÅ¥¸®Æ¼ ESRC]
¸ÅÅ©·Î°¡ ½ÇÇàµÇ¸é °ø°ÝÀÚ°¡ ¹Ì¸® ¼³Á¤ÇØ ³õÀº ¸í·ÉÁ¦¾î(C&C) ¼¹ö¿¡ Á¢¼ÓÇØ ¾Ç¼º ÆÄÀÏÀ» version.ini ÆÄÀϸíÀ¸·Î ÀúÀåÇÏ°í ½ÇÇàÇÑ´Ù. version.ini ÆÄÀÏÀÌ ½ÇÇàµÇ¸é version.ini, runps.vbs, conf.ps1 ÆÄÀÏÀ» »ý¼ºÇÏ°í ½ÇÇàÇÏ°Ô µÈ´Ù.
version.ini ÆÄÀÏÀº ½ÇÇà ÈÄ ÀÛ¾÷ ½ºÄÉÁÙ·¯ µî·ÏÀ» ÅëÇØ »ç¿ëÀÚ PC¿¡¼ÀÇ ¿¬¼Ó¼ºÀ» È®º¸ÇÑ´Ù. À̾î runps.vbs´Â ½ÇÇà ÈÄ conf.ps1¸¦ ½ÇÇàÇϸç, ½ÇÇàµÈ conf.ps1 ÆÄÀÏÀº °ø°ÝÀÚ°¡ ÁöÁ¤ÇØ ³õÀº C&C¿¡ Á¢¼ÓÇØ Ãß°¡ ÆÄÀÏÀ» ³»·Á¹Þ´Â´Ù. ±× ÀÌÈÄ ¸î Â÷·Ê C&C Á¢¼Ó ¹× ÆÄÀÏ ´Ù¿î·Îµå¸¦ ¹Ýº¹ÇÑ ÈÄ ÃÖÁ¾À¸·Î Quasar RATÀ» ½ÇÇàÇÏ°Ô µÈ´Ù.
¡ãÀÛ¾÷ ½ºÄÉÁÙ·¯ µî·ÏµÇ´Â ȸé[ÀÚ·á=À̽ºÆ®½ÃÅ¥¸®Æ¼ ESRC]
À̽ºÆ®½ÃÅ¥¸®Æ¼ ESRC´Â À̹ø ¾Ç¼ºÄÚµå¿Í °ü·ÃÇØ ¿©·¯ ÁöÇ¥µéÀ» ºÐ¼®ÇÑ °á°ú, À̹ø °ø°ÝÀº ºÏÇÑÀÌ ¹èÈÄ¿¡ ÀÖ´Â APT Á¶Á÷ÀÇ ¡®½º¸ðÅ© ½ºÅ©¸°(Smoke Screen)¡¯ °ø°Ý È°µ¿ÀÇ ¿¬Àå¼±À¸·Î °á·ÐÁö¾ú´Ù. ESRC °ü°èÀÚ´Â ¡°ÃÖ±Ù ºÏÇÑ Á¤ÂûÃѱ¹ÀÇ Áö¿øÀ» ¹Þ´Â ÇØÄ¿ Á¶Á÷ÀÇ ±¹³» °ø°ÝÀÌ °Å¼¼Áö°í ÀÖ´Ù¡±¸ç ¡°»ç¿ëÀÚµéÀº Àǽɽº·¯¿î ÆÄÀϵéÀÇ ½ÇÇàÀ» Áö¾çÇØ¾ß Çϸç, ¾Ë¾à°ú °°Àº ¹é½Å ¼³Ä¡¸¦ ÅëÇØ ¾ÈÀüÇÑ PC ȯ°æÀ» ¸¸µé¾î¾ß ÇÑ´Ù¡±°í ¹àÇû´Ù.
[±è¿µ¸í ±âÀÚ(boan@boannews.com)]
<ÀúÀÛ±ÇÀÚ: º¸¾È´º½º(www.boannews.com) ¹«´ÜÀüÀç-Àç¹èÆ÷±ÝÁö>
±è¿µ¸í±âÀÚ ±â»çº¸±â
.jpg)
[2023-05-26] 
 (1).jpg)
