리눅스 대상 공격에 사용되는 Nood RAT 악성코드 분석 (Gh0st RAT 변종) Posted By Sanseo , 2024년 2월 19일 AhnLab SEcurity intelligence Center(ASEC)에서는 최근 리눅스 버전의 Gh0st RAT 변종 악성코드인 Nood RAT이 공격에서 사용되고 있는 것을 확인하였다. 비록 윈도우 버전의 Gh0st RAT과 비교하면 적은 수량이긴 하지만 리눅스 버전의 Gh0st RAT 또한 지속적으로 수집되고 있다. Nood RAT은 과거 코드의 유사성을 기반으로 Gh0st RAT 변종으로 분류되었다. [1] 해당 악성코드는 최근 제작에 사용되는 빌더가 확인되었으며 제작자가 Nood라는 이름을 사용하였기 때문에 여기에서는 Nood RAT으로 분류한다. Nood RAT은 2018년 경부터 다양한 취약점 공격 과정에서 사용되어 왔다. 비록 최근에는 구체적인 공격 사례는 확인되지 않지만 VirusTotal…
취약한 데이터베이스 서버를 대상으로 유포 중인 Gh0stCringe RAT Posted By Sanseo , 2022년 3월 8일 ASEC 분석팀은 취약한 데이터베이스 서버(MS-SQL, MySQL 서버)를 대상으로 유포되는 악성 코드들을 지속해서 모니터링하고 있다. 여기에서는 Gh0stCringe[1]라고 하는 RAT 악성코드를 다룬다. Gh0stCringe는 CirenegRAT이라고도 불리는 악성코드로서 Gh0st RAT의 코드를 기반으로 하는 변종 중 하나이다. 2018년 12월경에 처음 확인되었으며 SMB 취약점(ZombieBoy의 SMB 취약점 도구를 사용하여)을 통해 유포되었던 것으로 알려져 있다.[2] 이후 직접적인 연관 관계가 확인된 것은 아니지만 2020년 6월경 발간된 KingMiner 코인 마이너 분석 보고서[3]에서 언급된 바 있다. 최근 확인되고 있는 Gh0stCringe RAT은 취약한 데이터베이스 서버들을 대상으로 유포되고 있다. 자사 ASD 로그를 기반으로…
원격제어 기능의 Gh0st RAT(고스트 렛) 주요기능 Posted By ASEC , 2020년 6월 16일 ASEC 분석팀에서는 2014년도에 뱅킹 악성코드에 DDoS 기능이 포함된 Gh0st RAT 분석 정보를 소개한 바있다. 당시에는 주로 DDoS 공격기능 중심으로 소개되었고, 전체적인 동작과정 및 원격제어 기능에 대한 설명이 부족하였다. 해당 원격제어 툴은 현재까지도 널리 사용되는 상황으로 이번 글에서는 좀 더 다양한 기능들에 대해 분석한 내용을 설명하고자 한다. https://asec.ahnlab.com/995 Gh0st RAT은 중국의 C. Rufus Security Team에서 개발되었으며 오픈소스로 공개된 원격 제어 악성코드이다. Gh0st RAT에 감염이 될 경우 해당 PC는 좀비 PC가 되어 공격자 서버로 부터 다양한 명령을 수행하게 된다. 특히 Github에도 Gh0st…
