중국 해커, 유럽 사이버 공격에 신형 Atlas RAT 악성코드 사용
중국어를 사용하는 사이버 범죄 조직이 대상 범위를 유럽으로 확대했으며, 이전에 문서화되지 않았던 악성코드와 Atlas 백도어를 배포하고 있습니다.
TA4922 로 추적되는 이 위협 행위자는 사기, 데이터 절도 및 접근 권한 판매를 목표로 하는 금전적 동기의 공격과 연관되어 있습니다.
TA4922는 이전에 동아시아의 조직을 표적으로 삼았지만, 최근 캠페인은 독일, 이탈리아, 영국 및 남아프리카공화국의 기관에 집중되고 있습니다.
Proofpoint 연구원들은 TA4922가 이전에 ‘Silver Fox’ 및 ‘Void Arachne’ 로 보고된 활동과 겹치는 부분이 있지만, 사이버 범죄와 더 연관성이 높아 별도로 추적되고 있다고 언급했습니다 [source][1].
3월 이후 TA4922의 활동이 급격히 증가했으며, 4월부터는 전례 없는 운영 다양성과 높은 템포를 보여주고 있습니다.
“TA4922는 현재 Proofpoint 위협 데이터에서 추적되는 다른 어떤 사이버 범죄 위협 행위자보다 더 많은 고유 캠페인을 수행하고 있으며, 높은 운영 템포, 다양한 유인 수단 및 다중 목표를 보여줍니다.” – Proofpoint
“이 행위자는 금전적 동기로 평가되지만, 악성코드의 기능에는 감시 가능성이 포함되어 있어 스파이 그룹에 의해 사용되거나 판매될 수 있습니다.” – Proofpoint
공격자는 급여 통지서, 세무 감사, 부가가치세 신고, 정부 규정 안내, 청구서 및 인사 커뮤니케이션 등으로 위장한 현지화된 피싱 유인 수단을 사용합니다. 피해자는 WhatsApp, LINE, Microsoft Teams 를 통해서도 접촉됩니다.
독일어 유인 – 출처: Proofpoint
Atlas RAT 및 맞춤형 로더
Proofpoint는 TA4922가 악성코드 무기를 크게 확장했으며, 자리표시자 값, 코드 주석 및 AI‑생성 코드에 흔히 보이는 패턴을 기반으로 대형 언어 모델(LLM)을 사용해 개발 속도를 가속화하고 있을 가능성을 제시했습니다.
Atlas RAT
Atlas RAT은 최근에 식별된 원격 접근 트로이목마로, 공격자에게 다음과 같은 기능을 제공합니다:
- 시스템 정찰
- 목표 파일 절도
- 플러그인 및 페이로드 다운로드
- 키 로깅
- 스크린샷 캡처
- 오디오 및 웹캠 녹음
- 시스템 종료/재부팅 명령
이 악성코드에는 Microsoft Defender Application Guard, CExecSvc 서비스 및 OS UUID와 연관된 사용자 이름 및 레지스트리 키를 탐지하는 등 여러 안티‑샌드박스·안티‑분석 검사가 포함되어 있습니다.
Atlas RAT 로더가 수행하는 검사 – 출처: Proofpoint
RomulusLoader
RomulusLoader 라는 새로운 로더는 프로세스 할로잉, 셸코드 주입 및 직접 실행을 이용해 추가 페이로드를 다운로드하고 실행합니다. 이 로더는 AnyDesk 와 SyncFuture (중국에서 인기 있는 원격 모니터링 도구) 와 같은 정식 원격 관리 툴을 실행하는 데 사용되었으며, 후자는 독일 기관을 대상으로 한 공격에서 관찰되었습니다.
RomulusLoader 작동 개요 – 출처: Proofpoint
SilentRunLoader
Proofpoint는 또한 파이썬 기반 로더이자 정보 탈취 도구인 SilentRunLoader 를 확인했으며, 이는 Google Chrome 자격 증명, 쿠키 및 브라우징 데이터를 수집합니다. 이 악성코드는 영국 및 동남아시아의 조직을 대상으로 정부 서비스를 사칭한 유인 수단을 통해 배포되었습니다.
Winos4.0 (ValleyRAT)
연구진은 Winos4.0 의 배포를 포착했으며, 이는 Proofpoint가 ValleyRAT 으로 추적하고 있던 기존 악성코드 패밀리로, 운영자에게 완전한 원격 접근 기능을 제공합니다.
Proofpoint 보고서에는 TA4922 공격에 사용된 악성코드와 명령·제어(C2) 인프라에 대한 지표가 포함되어 있습니다.
참고 문헌