최신 보안 동향

Discord를 C&C 서버로 사용하는 ApolloRat 악성코드

TACHYON & ISARC 2022. 7. 20. 17:44

최근, 미국의 보안 업체 Cyble에서 Discord를 C&C 서버로 사용하는 악성코드를 발견했다.

 

해당 악성코드는 "ApolloRAT"라고 불리며, 텔레그램을 통해 판매되고 있다. 이 악성코드가 실행될 경우 C&C Discord 서버와 통신하며, 공격자가 입력하는 명령어를 통해 피해자의 파일 다운로드와 브라우저 기록 수집 등의 악성 행위를 시도한다.

 

또한, Python으로 작성된 “ApolloRAT”는 Nuitka를 통해 C로 컴파일하는데, 이때 파일 크기가 급격히 증가하여 분석을 어렵게 한다고 알려졌다.

 

[Discord를 통해 피해자 IP를 확인하는 공격자]

사진출처 : Cyble

 

출처

[1] Cyble (2022.07.14) – ApolloRat: Evasive Malware Compiled Using Nuitka

https://blog.cyble.com/2022/07/14/apollorat-evasive-malware-compiled-using-nuitka/