Cobian RAT이라 명명 된 이 악성코드는 올해 2월부터 배포되었고, njRAT과 H-Worm 패밀리와 유사하다.
연구원들은 해커가 되고자 하는 사람들이 이 무료 악성코드 빌더를 이용하면 비교적 쉽게 자신만의 Cobian RAT을 생성할 수 있다고 설명하고 있다.
범죄자가 이 무료 빌더를 사용해 자신만의 악성코드를 생성 후, 해킹 된 웹사이트나 스팸 캠페인들을 통해 전 세계의 사용자들에게 배포해 영향을 받는 장치들을 악성 봇넷에 추가시킬 수 있게 된다.
이후 Cobian RAT은 키 입력 로깅, 스크린샷 촬영, 오디오 및 웹캠 녹음/녹화, 프로그램 설치/제거, shell 명령 실행, 동적 플러그인 사용, 파일 관리 등의 기능을 이용해 해킹 된 시스템에서 데이터를 훔칠 수 있다.
하지만 이 무료 Cobian RAT 악성코드 빌더 키트를 사용해 만들어진 커스텀 RAT들은 키트 제작자의 C&C 인프라로 사용 되는 Pastebin URL에 은밀히 연결하는 숨겨진 백도어 모듈이 포함되어 있다.
이 백도어는 키트의 제작자들이 언제든지 모든 RAT에 명령을 내릴 수 있기 때문에, 결과적으로 해당 키트를 이용해 악성코드를 제작한 제작자와 감염 된 시스템들 모두 위험에 처할 수 있다.
연구원들은 Cobian RAT의 원 개발자가 “RAT 페이로드를 빌드하고 감염을 확산 시키기 위해 2차적인 운영자들을 이용하고 있다”고 설명했다.
이 백도어 모듈을 이용하면 원 제작자는 Cobian RAT 봇넷의 모든 해킹 된 시스템들을 완전히 제어할 수 있게 된다. 심지어 그들은 설정 된 C&C 서버 정보를 변경함으로써 2차 운영자들을 제외시켜 버릴 수도 있다.
최근 발견 된 Cobian RAT 페이로드는 파키스탄의 방위 및 통신 솔루션 웹사이트(손상 되었을 가능성 있음)를 통해 배포 되었으며, MS 엑셀 스프레드시트로 위장한 .zip 파일에 포함 되어있었던 것으로 나타났다. [정보출처. 이스트시큐리티]
★정보보안 대표 미디어 데일리시큐!★
