트로이 목마 게임 유틸리티를 통한 Java 기반 RAT 확산

마이크로소프트 위협 인텔리전스(Microsoft Threat Intelligence)가 트로이 목마 게임 유틸리티를 통해 **Java 기반 원격 액세스 트로이 목마(RAT, Remote Access Trojan)**가 배포되는 악성 캠페인을 식별했습니다. 이러한 악성 유틸리티는 브라우저 및 채팅 플랫폼을 통해 유포되며, 사용자들이 악성 페이로드를 실행하도록 유도합니다.

공격의 기술적 세부 사항

마이크로소프트의 조사 결과에 따르면, 공격 체인은 악성 다운로더로 시작되며, 이 다운로더는 포터블 Java 런타임 환경을 준비합니다. 이후 다운로더는 **jd-gui.jar**라는 이름의 악성 Java 아카이브(JAR) 파일을 실행하며, PowerShell을 활용해 감염 프로세스를 진행합니다.

마이크로소프트는 구체적인 **침해 지표(IoC, Indicators of Compromise)**나 정확한 유포 경로를 공개하지 않았지만, Java 기반 악성코드와 PowerShell의 사용은 탐지를 회피하고 시스템에 지속성을 확보하기 위한 다단계 공격임을 시사합니다.

영향 및 위험성

RAT가 배포되면 위협 행위자는 다음을 수행할 수 있습니다:

• 감염된 시스템에 대한 비인가 원격 액세스 획득
• 자격 증명 및 개인 정보 등 민감한 데이터 유출
• 추가 악성코드 페이로드를 배포해 추가 악용 수행
• 침해된 네트워크 내에서 지속성 유지

이 캠페인은 게임 유틸리티를 대상으로 하고 있어, 크랙된 소프트웨어, 모드, 치트 등을 찾는 사용자를 악용할 가능성이 높습니다. 이는 게임 커뮤니티에서 흔히 발견되는 악성코드 유포 경로입니다.

보안 팀을 위한 권고 사항

이 위협과 관련된 위험을 완화하기 위해 조직 및 개별 사용자는 다음 조치를 취해야 합니다:

• Java 기반 프로세스를 시작하는 의심스러운 PowerShell 실행 차단 또는 모니터링
• 비공식 출처에서 제공되는 신뢰할 수 없는 게임 유틸리티, 모드, 치트 다운로드 제한
• 엔드포인트 탐지 및 대응(EDR, Endpoint Detection and Response) 솔루션을 배포해 비정상적인 Java 런타임 동작 식별
• 검증되지 않은 플랫폼에서 소프트웨어 다운로드 위험에 대한 사용자 교육 강화
• 알려진 취약점을 완화하기 위해 Java 런타임 환경 업데이트 및 패치 적용

마이크로소프트는 아직 이 캠페인을 특정 위협 행위자나 그룹에 귀속시키지 않았습니다. 추가 IoC가 확보됨에 따라 추가 분석이 진행될 예정입니다.