Wins Security Information

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향파일 없이 RAT를 제공하는데 사용되는 MSBuild 도구
작성일 2021-05-17 조회 2138

Anomali의 연구원들은 Microsoft Build Engine(MSBuild)을 악용하여 대상 Windows 시스템에 파일 없이 RAT와 RedLine Stealer 패스워드 스틸러 악성코드를 전달하는 위협 행위자를 관찰했다

 

"Anomali 연구원은 위협 행위자가 앱 구축에 사용되는 도구인 MSBuild를 사용하여 사용자에게 "빌드 플랫폼이 소프트웨어를 처리하고 구축하는 방식을 제어하는 XML 스키마를 제공하여 RemcosRAT를 파일 없이 제공하고, 콜백을 사용하는 RedLine stealer를 사용하는 캠페인을 발견했다.”라고 Anomali가 발행한 보고서를 읽는다.

 

전문가들은 "이번 캠페인이 2021년 4월부터 시작돼 여전히 진행 중"이라며 "탐지가 낮거나 아예 없다"고 지적했다.

 

MSBuild는 관리 코드 및 네이티브 C++ 코드를 위한 무료 오픈 소스 빌드 도구 집합이며, .NET Framework의 일부였다. 앱 빌드에 사용되며 사용자에게 빌드 플랫폼이 소프트웨어를 처리하고 구축하는 방법을 제어하는 XML 스키마를 제공하고, 콜백을 사용하여 파일 없이 RemcosRAT 및 RedLine stealer를 제공한다.

 

전문가들이 발견한 공격에 사용된 MSBuild 파일에는 인코딩된 실행 파일과 셸 코드가 포함되어 있으며, 그중 일부는 러시아 이미지 호스팅 사이트(joxi[.] net)에서 호스팅 되었다. 이 글을 쓰는 시점에서 .proj 파일이 배포된 방식은 아직 발견되지 않았다. 어쨌든 공격자가 Remcos 또는 RedLine Stealer를 실행하기 위해 파일을 사용했다.

 

[그림 1. MSBuild 감염체인]

 

MSBuild를 사용하면 공격자가 악성 코드를 메모리에 로드하는 동안 탐지를 피할 수 있다.

 

Anomali에서 분석한 대부분의 샘플은 Remcos RAT를 제공하는 데 사용되었으며, 다른 샘플은 Quasar RAT 및 RedLine Stealer도 제공했다.

 

Remcos는 원격 제어, 원격 관리, 원격 도난 방지, 원격 지원 및 침투 테스트에 사용할 수 있는 상용 소프트웨어이다. Quasar RAT는 GitHub에서 무료로 사용할 수 있으며, Gaza Hackers Team 및 Molerats라고도 알려진 Gaza Cybergang을 비롯한 많은 다른 공격자들이 캠페인에 사용했다.

 

Anomali는 "이 캠페인의 위협 행위자들은 보안 조치를 우회하는 방법으로 파일리스 전송을 사용했으며, 이 기술은 행위자들이 다양한 목표와 동기를 위해 사용한다."라고 결론지었다. "이 캠페인은 바이러스 백신 소프트웨어에만 의존하는 것만으로는 사이버 방어에 불충분하며, 합법적인 코드를 사용하여 바이러스 백신 기술에서 악성코드를 숨기는 것이 효과적이고 기하급수적으로 증가하고 있음을 강조한다."

 

 

출처

https://securityaffairs.co/wordpress/117969/malware/msbuild-delivers-rat.html

https://www.anomali.com/blog/threat-actors-use-msbuild-to-deliver-rats-filelessly

첨부파일 첨부파일이 없습니다.
태그 MSBuild  Remcos  RedLine