악성코드 Gh0st RAT, 가짜 크롬 브라우저 설치 프로그램으로 위장해 사용자 공격

최근 사이버 보안 기업 이센티어(eSentire)에 따르면, 악명 높은 원격 접근 트로이 목마(Gh0st RAT)가 Gh0stGambit이라는 새로운 드로퍼를 통해 중국어 사용자들을 대상으로 하는 공격에 사용되고 있다. 이 캠페인은 가짜 웹사이트 "chrome-web[.]com"을 통해 구글 크롬 브라우저 설치 프로그램으로 위장한 악성 MSI 설치 파일을 배포하는 형태로 이루어지고 있다.

■악성코드 배포 방법
-가짜 크롬 웹사이트:  구글 크롬을 다운로드하려는 사용자를 속여, 합법적인 크롬 설치 파일과 악성 설치 파일 "WindowsProgram.msi"를 포함한 MSI 설치 파일을 다운로드하게 한다.
-회피 드로퍼: Gh0stGambit 드로퍼는 360 세이프가드 및 마이크로소프트 디펜더와 같은 보안 소프트웨어를 확인한 후, C2 서버와 접속하여 Gh0st RAT을 배포한다.

■Gh0st RAT의 기능
-C++로 작성: 프로세스 종료, 파일 삭제, 오디오 및 스크린샷 캡처, 원격 명령 실행, 키로깅, 데이터 탈취 등의 기능을 포함하고 있다.
-고급 기능: 미미카츠를 떨어뜨려 자격 증명을 탈취하고, 원격 데스크톱 프로토콜(RDP)을 활성화하며, 텐센트 QQ 계정에 접근하고, 이벤트 로그를 지우며, 360 시큐어 브라우저, Secure Browser, QQ 브라우저 등의 데이터도 삭제할 수 있다.

이 캠페인에서 Gh0st RAT을 사용하는 것은 2008년 처음 등장한 이후 중국과 연계된 사이버 첩보 그룹에 의해 오랜 기간 사용되어 왔다. HiddenGh0st와 같은 Gh0st RAT의 변종은 취약한 MS SQL 서버를 침투해 루트킷을 설치하는 등의 정교한 공격에도 사용된 바 있다.

Gh0st RAT와 같은 악성코드 피해를 예방하기 위해서 사용자는 항상 공식 웹사이트나 신뢰할 수 있는 소스에서 소프트웨어를 다운로드하는 것이 무엇보다 중요하고 기업 내부 보안 교육도 중요하다.