PureRAT 맬웨어

사이버 보안 연구원들이 러시아 기관들을 표적으로 삼아 PureRAT이라는 백도어 악성코드를 유포하는 대규모 피싱 캠페인을 발견했습니다. 이 캠페인은 2023년 3월에 시작되었지만, 2025년 초 급격히 증가하여 2024년 같은 기간 동안 발생한 공격 건수의 4배에 달했습니다. 아직 구체적인 위협 행위자는 확인되지 않았지만, 사용된 공격 수법과 악성코드를 보면 매우 조직적인 작전이었음을 알 수 있습니다.

기만적인 전달: 공격의 해부학

공격은 .RAR 압축 파일이나 다운로드 링크가 포함된 피싱 이메일로 시작됩니다. 오해의 소지가 있는 이중 확장자(예: doc_054_[삭제됨].pdf.rar)로 위장된 이 압축 파일은 Microsoft Word 또는 PDF 파일인 것처럼 위장합니다. 피해자가 파일을 열면 내부의 실행 파일이 실행됩니다.

이 실행 파일은 여러 가지 은밀한 작업을 수행합니다.

• task.exe로 %AppData%에 자체 복사
• 지속성을 위해 시작 폴더에 Task.vbs 스크립트를 생성합니다.
• ckcfb.exe를 추출하여 실행합니다.

ckcfb.exe는 InstallUtil.exe를 사용하여 복호화된 모듈을 실행합니다. 또한 주요 PureRAT 페이로드가 포함된 Spydgozoi.dll을 복호화하고 로드합니다.

원격 제어: PureRAT가 할 수 있는 일

PureRAT은 공격 기반을 확보한 후 명령 및 제어(C2) 서버와 암호화된 연결을 설정하고 시스템 정보를 전달합니다. 이후 다음과 같은 손상된 모듈을 수신하여 실행할 수 있습니다.

플러그인 PC 옵션

• 자체 삭제를 실행합니다
• 맬웨어 프로세스를 다시 시작합니다
• 시스템을 종료하거나 재부팅합니다

플러그인윈도우노티파이

• 민감한 키워드(예: 비밀번호, 은행)에 대한 활성 창을 모니터링합니다.
• 허가되지 않은 자금 이체와 같은 작업을 시작할 수 있습니다.

플러그인 클리퍼

• 복사된 암호화폐 지갑 주소를 공격자가 제어하는 주소로 대체합니다.

또한 PureRAT는 공격자에게 다음과 같은 기능을 제공합니다.

• 키로깅
• 원격 데스크톱 제어
• 파일, 레지스트리, 카메라, 마이크 및 실행 중인 프로세스에 대한 액세스

계층적 감염: PureRAT 그 이상

최초 실행 파일은 2022년부터 유통되어 온 PureCrypter라는 상업용 다운로더인 StilKrip.exe도 추출합니다. 이 도구는 보조 파일인 Bghwwhmlr.wav를 다운로드하고, 이는 새로운 실행 체인을 시작합니다. 이 시퀀스는 궁극적으로 Ttcxxewxtly.exe를 실행하고, PureLogs라는 두 번째 맬웨어 변종의 핵심 구성 요소인 Bftvbho.dll을 활성화합니다.

PureLogs는 강력한 정보 탈취 도구로 기능합니다. 활성화되면 웹 브라우저, 이메일 클라이언트, VPN 서비스, 메시징 애플리케이션 등에서 자격 증명과 사용자 정보를 포함한 광범위한 민감한 데이터를 은밀하게 수집합니다. 또한 비밀번호 관리자, 암호화폐 지갑 애플리케이션, 그리고 FileZilla와 WinSCP와 같이 널리 사용되는 파일 전송 도구까지 공격하여 공격자에게 개인 및 조직 데이터 모두에 대한 심층적인 접근 권한을 부여합니다.

결론: 이메일은 여전히 가장 약한 연결 고리입니다

PureRAT과 PureLogs의 결합은 사이버 범죄자에게 침해된 시스템을 감시, 수집 및 제어할 수 있는 광범위한 기능을 제공합니다. 유해한 첨부 파일이나 링크가 포함된 피싱 이메일의 지속적인 사용은 여전히 주요 침입 경로로 작용하고 있으며, 이는 조직의 사이버 보안 방어에 있어 강력한 이메일 필터링과 사용자 인식 제고의 필요성을 강조합니다.