중국 악성코드, GitHub 페이지 통해 개발자 타겟

중국 사용자들이 인기 있는 브라우저와 통신 소프트웨어를 다운로드하려 할 때, 다양한 악성코드 변종에 의해 공격받고 있다. Fortinet FortiGuard Labs와 Zscaler ThreatLabz를 포함한 여러 사이버 보안 기관에 따르면, 공격자들은 원격 액세스 기능을 부여하는 악성코드를 배포하고 있다.

Fortinet은 SEO 중독 캠페인을 통해 HiddenGh0st와 Winos라는 두 가지 원격 액세스 트로이 목마(RAT)를 배포하는 것을 발견했다. 이 캠페인에서 공격자들은 DeepL Translate, Google Chrome, Signal, Telegram, WhatsApp, WPS Office와 같은 프로그램의 다운로드 페이지를 위장하여 타이포스쿼팅 도메인에 만들었다.

이들은 다양한 SEO 플러그인을 사용하여 이러한 프로그램을 검색하는 사람들을 잘못된 사이트로 유도했다. 다운로드는 원하는 프로그램을 배포하는 것처럼 보이지만, 설치 프로그램은 트로이 목마로 변조되어 위에서 언급한 트로이 목마 중 하나를 제공한다.

동시에 Zscaler 연구원들은 kkRAT라는 이전에 알려지지 않은 트로이 목마가 배포되고 있음을 관찰했다. 이 캠페인은 올해 5월에 시작되었으며, Winos와 FatalRAT도 포함된다. kkRAT의 코드는 Gh0st RAT와 Big Bad Wolf와 유사하며, 데이터 압축 후 암호화 계층을 추가한 네트워크 통신 프로토콜을 사용한다.

이 트로이 목마는 악성 활동을 실행하기 전에 안티바이러스 소프트웨어를 종료할 수 있으며, 360 Internet Security suite, 360 Total Security, HeroBravo System Diagnostics suite 등이 대상이다. GitHub 페이지에 호스팅된 피싱 사이트를 통해 트로이 목마를 배포하며, 신뢰를 이용하고 있다. 이 캠페인에 사용된 GitHub 계정은 이미 종료되었다.