공격자는 악성 JAR 및 폴리글롯 파일을 통해 멀웨어를 배포합니다.
딥 인스팅트 연구원들은 2022년 캠페인에서 StrRAT 및 Ratty와 같은 RAT가 폴리글롯과 JAR 파일을 통해 사용되었다고 보고했습니다. 두 위협 모두 동일한 C2 서버로 보고하는 것으로 보아, 발견된 취약점을 집중적으로 익스플로잇하는 한 그룹임을 알 수 있습니다.
이 새로운 RAT 유포 캠페인은 JAR과 MSI 파일 형식을 단일 파일로 결합합니다. 반면에 MSI+JAR 폴리글롯 기법은 2019년에 발견되어 CVE 번호(CVE-2020-1464)를 부여받았으며 패치까지 적용되었습니다. 하지만 수정이 불충분한 것으로 보인다는 점은 주목할 가치가 있습니다.
보고서에 따르면 위협 행위자들은 안티바이러스 엔진의 탐지를 회피하는 데 어느 정도 성공했다고 합니다. 두 RAT가 얼마나 오래되고 잘 문서화되어 있는지를 고려할 때 이는 중요한 의미를 갖습니다. StrRAT 페이로드는 JAR 및 MSI 파일 형식을 모두 사용하는 캠페인에 사용되었으며, 이는 Windows 및 Java 런타임 환경 모두에서 실행될 수 있음을 나타냅니다.
보고서에 따르면, 또 다른 캠페인에서는 CAB 및 JAR 폴리글롯을 사용하여 StrRAT 및 Ratty를 배포했으며, URL 단축 서비스인 rebrand.ly 및 cutt.ly를 사용하여 아티팩트를 확산시켰습니다.
이 캠페인의 폴리글롯 배포에는 Sendgrid와 URL 단축 서비스인 Cutt.ly 및 Rebrand.ly가 사용되며, 검색된 StrRAT 및 Ratty 페이로드는 Discord에 저장됩니다.
탐지 측면에서 CAB/JAR 폴리글롯은 Virus Total의 59개 AV 엔진 중 6개를 양성으로 판별한 반면, MSI/JAR 폴리글롯은 30개 보안 공급업체에서 식별했습니다. 결과적으로 탐지율은 10%에서 50% 사이입니다.
피싱을 통해 초기 액세스 권한을 얻습니다. 사이버 보안 전문가들은 다양한 악성 환경에서 URL 단축기를 사용하여 무의식적인 피해자를 속이는 이 위험한 링크를 발견했습니다: Rebrand[.]ly/afjlfvp. 탐지를 피하기 위해 서명된 MSI 파일이 사용되며, 이는 다음과 같이 관찰됩니다: 85d8949119dad6215ae0a21261b037af.
"JAR 파일에 대한 적절한 탐지는 정적 및 동적 탐지가 모두 가능해야 합니다. 파일 끝에 중앙 디렉터리 레코드가 있는지 모든 파일을 검사하는 것은 비효율적입니다. 방어자는 "java" 및 "javaw" 프로세스를 모두 모니터링해야 합니다. 이러한 프로세스에 인자로 "-jar"가 있는 경우 인자로 전달된 파일 이름은 파일 확장자나 Linux "file" 명령의 출력에 관계없이 JAR 파일로 취급해야 한다고 보고서는 말합니다.
이 글의 출처는 BleepingComputer의 기사입니다.