Fileless로 동작하는 Revenge RAT 악성코드 - ASEC BLOG 관련 IOC 12개 발견
[ svchost.exe ] 1. 사용자의 컴퓨터에 연결하여 사용자 정보를 수집하고, 사용자의 컴퓨터에 다른 악성코드를 설치하거나 다른 프로그램을 실행하는 등의 악성 행위를 수행한다.
ASEC은 최근 정상 Tool을 감싸 만든 Revenge RAT 악성코드가 유포되고 있으며, 공격자는 smtp-validator, Email To Sms 등의 이름을 가진 Tool을 활용하여 정상 Tool과 악성 파일을 동시에 생성하여 실행하고 있으며, 이를 인지하기 어려운 특징을 가지고 있다. 이후 생성된 svchost.exe는 사용자 정보를 수집하고 다른 악성코드를 설치하거나 다른 프로그램을 실행하는 악성 행위를 수행한다.
ASEC이 최근 정상 Tool을 감싸 만든 Revenge RAT 악성코드가 유포되고 있음을 포착했다. 공격자는 smtp-validator, Email To Sms 등의 이름을 가진 Tool을 활용하여 정상 Tool과 악성 파일을 동시에 생성하여 실행하고 있으며, 이를 인지하기 어려운 특징을 가지고 있다. 이후 생성된 svchost.exe는 사용자 정보를 수집하고 다른 악성코드를 설치하거나 다른 프로그램을 실행하는 악성 행위를 수행한다.
Ahnlab
Revenge RAT Malware that operates as a Fileless -ASEC Blog
[SVCHOST.EXE] 1. Connect the user information to the user’s computer to collect user information, and perform malicious behaviors such as installing other malware on the user’s computer or executing another program.
ASEC has recently distributed the REVENGE RAT malware, which was wrapped in normal tools, and the attacker uses a tool with names such as SMTP-VALIDATOR and EMAIL to SMS.It has a difficult characteristic.SVCHOST.EXE then collects user information and performs malicious behaviors to install other malware or execute other programs.
ASEC has recently captured that the REVENGE RAT malware has been distributed.The attacker uses a tool with a name such as SMTP-VALIDATOR, Email to SMS, etc., creating and executing normal tools and malicious files at the same time.SVCHOST.EXE then collects user information and performs malicious behaviors to install other malware or execute other programs.
https://asec.ahnlab.com/ko/61288/