정교한 DEAD#VAX 악성코드 캠페인, AsyncRAT로 조직 대상 공격

보안 연구진들이 DEAD#VAX로 명명된 은밀한 악성코드 캠페인을 발견했습니다. 이 캠페인은 IPFS(InterPlanetary File System)에 호스팅된 VHD 파일, 고급 스크립트 난독화, 인메모리 실행 기법을 결합해 기존 보안 방어망을 우회하고 AsyncRAT(원격 액세스 트로이목마)을 유포합니다. 이 공격은 체계적인 공격 기법과 합법적인 시스템 기능을 악용해 탐지를 회피하는 특징을 보입니다.

공격 체인의 기술적 분석

DEAD#VAX 캠페인은 다음과 같은 다양한 회피 기법을 활용합니다:

• IPFS 호스팅 악성 페이로드: 공격자는 가상 하드 디스크(VHD) 파일을 IPFS라는 분산형 스토리지 네트워크를 통해 유포합니다. IPFS의 탈중앙화 특성으로 인해 악성 콘텐츠 차단이 어려워집니다.
• 고도화된 스크립트 난독화: 공격자는 악성 코드를 숨기기 위해 난독화된 스크립트를 사용하며, 이로 인해 정적 분석이 어려워집니다.
• 런타임 복호화 및 인메모리 실행: 악성코드 구성 요소는 실행 시점에 복호화되어 메모리에서 실행되며, 디스크 기반 탐지 메커니즘을 우회합니다.
• AsyncRAT 유포: 최종 페이로드는 AsyncRAT으로, 원격 제어, 데이터 유출, 지속성 유지 등 다양한 기능을 가진 오픈소스 RAT입니다.

영향 및 탐지 어려움

IPFS를 통해 악성 파일을 호스팅하는 방식은 전통적인 도메인 기반 차단 기법이 효과적이지 않다는 점에서 방어자들에게 큰 도전이 됩니다. 또한, 인메모리 실행과 난독화 기법에 의존하는 캠페인은 엔드포인트 탐지 및 대응(EDR) 솔루션으로 악성 활동을 식별하기 어렵게 만듭니다.

보안 팀은 다음 사항을 모니터링해야 합니다:

• IPFS 게이트웨이로부터의 비정상적인 VHD 파일 다운로드
• 의심스러운 PowerShell 또는 스크립트 기반 실행
• 알려진 AsyncRAT 명령 및 제어(C2) 서버와의 네트워크 연결

완화 및 대응 권고 사항

조직은 다음 조치를 통해 위험을 줄일 수 있습니다:

• IPFS 게이트웨이 접근 제한: 명시적으로 필요하지 않은 경우 알려진 IPFS 게이트웨이 접근을 차단하거나 모니터링합니다.
• 스크립트 모니터링 강화: 난독화된 스크립트와 인메모리 실행을 탐지할 수 있는 고급 행동 분석을 배포합니다.
• 엔드포인트 보호: EDR/XDR 솔루션이 AsyncRAT 및 유사한 RAT를 탐지하도록 구성합니다.
• 사용자 인식 교육: 특히 VHD와 같은 특이한 파일 유형을 포함한 피싱 위험에 대해 직원 교육을 실시합니다.

연구진들은 추가적인 침해 지표(IOC)를 분석 중입니다. 보안 팀은 신규 위협에 대한 최신 정보를 유지하고 대응 방안을 지속적으로 조정해야 합니다.