트로이 목마화된 게임 도구가 브라우저 및 채팅 플랫폼을 통해 Java 기반 RAT 전파
I’m ready to translate the article for you, but I need the full text you’d like translated. Could you please paste the content (or the portion you want translated) here? I’ll keep the source line and all formatting exactly as you request.
위협 개요
위협 행위자들은 브라우저와 채팅 플랫폼을 통해 배포되는 트로이 목마가 포함된 게임 유틸리티를 실행하도록 무방비한 사용자를 유인하여 원격 액세스 트로이 목마(RAT)를 전달하고 있습니다.
Source: …
공격 체인 세부 사항
- 악성 다운로더가 휴대용 Java 런타임을 배치하고
jd-gui.jar라는 악성 JAR 파일을 실행합니다. - 실행은 PowerShell 및
cmstp.exe와 같은 살아있는 시스템 바이너리(LOLBins)를 이용해 은밀하게 수행됩니다. - 초기 다운로더는 자체를 삭제하고 RAT 구성 요소에 대한 Microsoft Defender 제외 항목을 설정합니다.
- 지속성은 예약 작업과
world.vbs라는 Windows 시작 스크립트를 통해 확보됩니다. - 최종 페이로드는
79.110.49[.]15에 있는 외부 C2 서버와 연결되어 데이터 유출 및 추가 페이로드 배포를 가능하게 합니다.
“악성 다운로더가 휴대용 Java 런타임을 배치하고 jd‑gui.jar 라는 악성 Java 아카이브(JAR) 파일을 실행했습니다,” 라고 Microsoft 위협 인텔리전스 팀이 X에 올린 게시물에서 밝혔습니다.
방어 권고사항
- Microsoft Defender 제외 항목 및 예약 작업을 감사하십시오.
- 악성 작업이나 시작 스크립트(예:
world.vbs)를 제거하십시오. - 영향을 받은 엔드포인트를 즉시 격리하십시오.
- 침해된 호스트에 접근한 사용자의 자격 증명을 재설정하십시오.
Steaelite RAT
BlackFog은 Steaelite라는 새로운 Windows RAT 패밀리를 공개했으며, 2025년 11월에 범죄 포럼에서 “최고의 Windows RAT”이자 “완전 탐지 회피(FUD)” 기능을 갖춘 것으로 광고되었습니다. Windows 10 및 11과 호환됩니다.
주요 특징
- 데이터 절도와 랜섬웨어를 하나의 웹 패널에 결합했으며, 현재 Android용 랜섬웨어 모듈이 개발 중입니다.
- 키로깅, 클라이언트‑대‑피해자 채팅, 파일 검색, USB 전파, 배경화면 수정, UAC 우회, 그리고 클리퍼 기능을 위한 개발자 도구를 포함합니다.
- 경쟁 악성코드를 제거하거나 Microsoft Defender를 비활성화·예외 설정을 구성하고, 지속성 메커니즘을 설치할 수 있습니다.
주요 기능
- 원격 코드 실행, 파일 관리, 실시간 스트리밍, 웹캠/마이크 접근.
- 프로세스 관리, 클립보드 모니터링, 비밀번호 절도, 설치된 프로그램 열거, 위치 추적.
- 임의 파일 실행, URL 열기, DDoS 공격, VB.NET 페이로드 컴파일.
“이 도구는 운영자가 감염된 Windows 머신을 브라우저 기반으로 제어할 수 있게 하며, 원격 코드 실행, 자격 증명 절도, 실시간 감시, 파일 유출 및 랜섬웨어 배포를 단일 대시보드에서 수행하도록 합니다,” 라고 보안 연구원 Wendy McCague가 말했습니다.
기타 신흥 RAT 패밀리
- DesckVB RAT – GitHub에서 추적됨: .
- KazakRAT – Ctrl Alt Intel에 의해 상세히 다루어짐: .
KazakRAT는 카자흐스탄 및 아프가니스탄 기관을 표적으로 하는 국가 연계 클러스터에 의해 운영되는 것으로 의심되며, 2022년 8월 최소부터 활동이 지속되고 있습니다. 두 패밀리 모두 포괄적인 원격 제어와 선택적인 사후 침해 기능 배포를 가능하게 합니다.