ZuoRAT은 최소 2020년부터 활동했지만 2022년에 야생에서 처음 발견된 원격 액세스 트로이목마(RAT) 입니다. 이 멀웨어는 주로 북미 및 유럽 시장에 판매되는 소규모 사무실/홈 오피스(SOHO) 라우터를 표적으로 삼습니다.
ZuoRAT은 역사상 가장 유명한 사물인터넷(IoT) 봇넷 중 하나인 Mirai의 후예입니다. 2016년에 미라이의 소스 코드가 유출되어 다른 멀웨어가 기존 코드베이스를 기반으로 구축할 수 있게 되었습니다.
ZuoRAT은 코로나19 팬데믹으로 인한 원격 근무의 붐을 활용했습니다. 팬데믹으로 인해 더 많은 양의 비즈니스 트래픽이 홈 오피스나 소규모 기업을 인터넷에 연결하는 소호 라우터를 통해 전달되고 있습니다. 이러한 라우터는 일반적으로 대형 라우터에 비해 모니터링과 보안이 취약하기 때문에 RAT가 탐지되기 전까지 1년 넘게 레이더망을 피할 수 있었던 것으로 보입니다.
ZuoRAT은 패치되지 않은 취약점을 악용하여 소호 라우터에 액세스합니다. 이러한 취약점은 공개적으로 알려져 있지만 패치를 적용하는 개인과 소규모 기업은 거의 없어 악용에 취약한 상태에 놓여 있습니다. 라우터에 액세스한 후 ZuoRAT의 주요 목표는 민감한 데이터를 수집하는 것입니다. 라우터를 통과하는 통신을 도청하고 HTTP 및 DNS 트래픽에 대한 중간자 공격(MitM) 을 수행합니다.
이 멀웨어는 RAT로서 공격자에게 감염된 디바이스를 원격으로 제어할 수 있는 기능도 제공합니다. 감염된 디바이스와 디바이스가 연결된 네트워크에 대한 정보를 수집한 후 멀웨어 운영자는 시스템에서 특정 명령을 실행하거나 추가 모듈을 다운로드하도록 결정할 수 있습니다.
ZuoRAT의 모듈성은 다양한 기능을 제공합니다. 약 2,500개의 서로 다른 모듈이 이 멀웨어에서 확인되었으며, 공격자는 감염된 시스템과 네트워크에 대해 고도로 맞춤화된 공격을 수행할 수 있습니다.
ZuoRAT 멀웨어는 소호 라우터의 레이더망을 피해 몰래 침입하도록 설계되었습니다. 이 멀웨어는 일반적으로 라우터가 관리되지 않는다는 사실을 이용했을 뿐만 아니라 라우터 간 통신과 프록시 서버를 명령 및 제어(C2)에 사용했기 때문에 멀웨어를 탐지하거나 출처를 추적하기가 훨씬 더 어려웠습니다.
감염된 라우터 네트워크를 구축하는 것 외에도 ZuoRAT은 조직의 네트워크 시스템에 다양한 영향을 미칠 수 있습니다. 이 멀웨어는 네트워크 트래픽을 도청하고 가로챌 수 있으며, 다양한 모듈을 통해 멀웨어의 리소스와 네트워크 트래픽에 대한 액세스를 사용하여 비밀번호 스프레이 또는 코드 인젝션과 같은 다른 공격을 수행할 가능성이 있습니다.
이러한 공격으로부터 보호하는 데 도움이 되는 몇 가지 보안 모범 사례는 다음과 같습니다:
ZuoRAT은 원격 근무의 급증에 편승하여 갑자기 민감한 비즈니스 데이터를 맡게 된 보호가 취약한 소규모 네트워크를 공격한 다목적 멀웨어 변종입니다. 패치가 적용되지 않은 소호 라우터에 액세스하여 네트워크 트래픽을 모니터링하고 관리되지 않는 디바이스에서 다른 공격을 수행할 수 있는 완벽한 발판을 마련합니다.
이러한 종류의 기법은 2023년에도 여전히 일반화되어 있으며, 이는 사이버 범죄자들이 성공적인 전술을 구사하고 있음을 보여줍니다. 하지만 이는 기업들이 직면하고 있는 수많은 보안 위협 중 하나일 뿐입니다. 체크포인트의 2024 사이버 보안 보고서에서 현재 사이버 보안 위협 환경에 대해 자세히 알아보세요.
체크 포인트 ( Harmony Endpoint )는 ZuoRAT 및 기타 멀웨어 변종으로 인한 위협을 식별하고 관리하는 데 필요한 가시성과 제어 기능을 기업에 제공합니다. 무료 데모를 Harmony Endpoint 통해 및 예방 중심의 접근 방식에 대해 자세히 알아보세요.
피드백