러시아 CTRL Toolkit이 악성 LNK 파일을 통해 전달되어 FRP 터널을 통해 RDP를 탈취한다

Source: The Hacker News

Discovery

사이버 보안 연구원들은 러시아 출신의 원격 접근 툴킷을 식별했으며, 이를 CTRL toolkit이라고 명명했습니다. 이 발견은 보안 모니터링 서비스 Censys에 의해 보고되었습니다.

Distribution method

툴킷은 악성 Windows 바로가기 파일(.LNK)을 통해 전달됩니다. 이 바로가기 파일은 개인키 폴더처럼 보이도록 제작되어 사용자가 클릭하도록 유도합니다.

Technical details

• Platform: .NET 프레임워크를 사용해 맞춤 제작되었습니다.
• Components: 지속성 및 원격 제어를 구축하기 위해 함께 작동하는 여러 실행 파일을 포함합니다.

Capabilities

CTRL toolkit은 여러 악성 기능을 제공합니다:

• 자격 증명 피싱
• 키 로깅
• 원격 데스크톱 프로토콜(RDP) 하이재킹
• 역방향 터널링(예: FRP 터널을 통한)

References

• Censys 연구 (원본 출처)