네ptune RAT, YouTube, Telegram 및 GitHub를 통해 확산

사이버 보안 회사 CYFIRMA의 연구원들은 Neptune RAT로 알려진 새로운 고도로 정교한 악성 소프트웨어를 발견했으며, 이는 GitHub, Telegram 및 YouTube와 같은 소셜 플랫폼을 통해 빠르게 확산되고 있으며, 전 세계의 Windows 사용자, 개인 및 조직에 상당한 위협이 되고 있습니다.

이 원격 액세스 트로이 목마(RAT)는 “가장 진보된 RAT”로 설명되며, 암호 클리퍼, 비밀번호 수집기, 시스템 파괴, 랜섬웨어 배포, 실시간 데스크톱 모니터링, 안티바이러스 소프트웨어 비활성화 기능 등을 포함한 악의적인 기능 세트를 갖추고 있어 매우 심각한 위협이 됩니다.

배포 채널 및 감염 방법

CYFIRMA에 따르면, Neptune RAT의 제작자(Visual Basic .NET으로 작성됨)는 소스 코드 없이 소셜 플랫폼에서 소프트웨어의 최신 버전을 무료로 제공하고 있습니다. 개발자들은 악성 소프트웨어 분석을 방해하기 위해 실행 파일을 의도적으로 난독화했습니다.

개발자는 이를 무료 버전으로 제공하며 “교육 및 윤리적 목적”을 위해 설계되었다고 주장하지만, 유료 버전이 뒤에 숨겨져 있다는 암시를 주어 배포 방식과 잠재적 오용에 대한 상당한 보안 우려를 불러일으킵니다.

Neptune RAT는 직접 PowerShell 명령을 생성할 수 있는 능력이 있어(irm 및 iex 사용) 원활한 전달 및 실행이 가능합니다. GitHub와 catbox.moe와 같은 API를 사용하여 악성 스크립트와 파일을 호스팅합니다. 또한, 아랍어 문자와 이모지를 통합하여 원래 문자열을 대체함으로써 분석을 더욱 어렵게 만듭니다.

악성 소프트웨어 기능

Neptune RAT는 다음과 같은 여러 위험한 기능을 자랑합니다:

자격 증명 도용: 270개 이상의 애플리케이션(웹 브라우저, 소셜 미디어 및 금융 플랫폼 포함)에서 자격 증명 또는 로그인 세부 정보를 추출할 수 있습니다.

암호화폐 클리핑: 클립보드 활동을 모니터링하여 암호화폐 지갑 주소를 감지하고 이를 공격자가 제어하는 주소로 대체하여 피해자의 지식 없이 자금을 유도합니다.

랜섬웨어 배포: 활성화되면 Neptune RAT는 피해자의 시스템에서 파일을 암호화하고 이를 해제하기 위해 몸값을 요구하여 데이터를 인질로 잡습니다.

시스템 파괴: 감염된 장치를 작동 불능 상태로 만들 수 있는 마스터 부트 레코드와 같은 시스템 구성 요소를 손상시킬 수 있는 기능을 포함하고 있습니다.

회피 기술: 가상 머신(VM) 감지와 같은 반 분석 방법을 사용하고, 레지스트리 수정 및 작업 스케줄러를 통해 여러 지속성 방법을 설정하여 손상된 시스템에 대한 장기적인 제어를 유지할 수 있도록 합니다.

보호 조치

Neptune RAT로부터의 잠재적 위협으로부터 보호하기 위해 개인과 조직 모두는 다음과 같은 보호 조치를 따를 수 있습니다. 신뢰할 수 없는 출처에서 소프트웨어를 다운로드하거나 링크를 클릭하지 않도록 하십시오, 특히 GitHub, Telegram 및 YouTube와 같은 플랫폼에서;

Windows 및 모든 설치된 앱을 정기적으로 업데이트하여 알려진 취약점을 패치하십시오; 고급 위협을 탐지하고 차단할 수 있는 신뢰할 수 있는 안티바이러스 및 안티멀웨어 소프트웨어를 사용하십시오.

공격 발생 시 복구를 보장하기 위해 중요한 데이터를 정기적으로 백업하십시오; 그리고 새로운 위협에 대한 정보를 유지하고 안전한 브라우징 및 다운로드 습관을 실천하십시오.

Neptune RAT에 대한 자세한 정보는 CYFIRMA의 웹사이트를 확인할 수 있습니다.