🎯 강력한 신형 RAT 등장, Resolver RAT 분석 리포트

최근 Morphisec 보안 연구팀이 발견한 새로운 악성코드 ‘Resolver RAT’이 보안 업계에 큰 파장을 일으키고 있어요.
기존 Rhadamanthys나 Lumma 같은 인포스틸러를 대체하며, 더 정교한 은폐 기술과 지속성,
분석 회피 능력을 갖춘 이 악성코드는 전 세계적으로 빠르게 확산 중입니다.

---

🕵️ Resolver RAT은 어떤 악성코드인가요?

Resolver RAT은 'Remote Access Trojan'의 약자로, 원격지에서 감염된 컴퓨터를 조종하고 민감 데이터를 수집할 수 있는 악성 프로그램입니다.
Morphisec 보고서에 따르면, 이 악성코드는 기존 유명 인포스틸러들이 사용하던 동일한 DLL 사이드로딩 방식과 피싱 메일 수법을 그대로 사용하지만, 최종 페이로드를 Resolver RAT으로 교체해 배포 중이라고 해요.

📌 주요 특징:

• 완전히 새로운 툴로, 기존 악성코드 시그니처와 일치하지 않음
• 메모리 기반 실행, 안티-디버깅, 안티-샌드박스 등 최신 기법 탑재
• 정교한 .NET 리소스 하이재킹 기능 탑재
• 랜덤화된 C2 연결 타이밍, 오탐 회피 설계

---

📦 감염 방식과 피싱 수법

Resolver RAT은 주로 DLL 사이드로딩을 통해 침투합니다.
사용된 파일은 하이하이소프트 PDF 리더의 hpreader.exe이며, 이는 과거 Rhadamanthys 공격과 동일합니다.

📬 감염 절차:

1. “저작권 위반 관련 문서” 등의 제목으로 된 피싱 이메일 수신
2. ZIP 압축 파일 열람 → DLL 사이드로딩
3. 감염 후 RAT 실행 및 C2 서버와 통신

메일은 타깃 국가의 언어에 맞춰 발송되며, 최근엔 헬스케어 및 제약 분야의 국제 조직들이 피해를 입었어요.
피해 지역은 유럽, 아시아 등으로 확대되고 있습니다.

---

🧠 왜 위험한가요? Resolver RAT의 은폐 기술

Morphisec는 이 악성코드를 “복잡한 기술이 블러처럼 섞인 형태”라고 표현했어요.
이 악성코드는 단순히 정보를 빼내는 것을 넘어서, 탐지를 피하고 장기적으로 잠복할 수 있는 여러 가지 기능들을 갖추고 있습니다.

🔐 주요 회피/은폐 기술:

• ⚙️ 제어 흐름 난독화 (Control Flow Flattening)
• 🔐 문자열 및 함수 이름 암호화 (ID → 실행 시 복호화)
• 🔄 .NET 리소스 하이재킹: 샌드박스 탐지 및 우회 가능
• ⏱ 랜덤한 통신 간격으로 분석 회피
• 🧩 메모리 상에서만 동작, 흔적 남기지 않음

---

🧬 집요한 지속성(Persistence)

Resolver RAT은 감염된 시스템에 강력한 생명력을 유지합니다.
단순히 한두 군데에 자리를 잡는 것이 아니라, 20개 이상의 레지스트리 키를 XOR로 난독화해 은폐하고,
다음 위치에 다수 복사본을 생성해요:

• Program Files
• AppData
• Local AppData
• Startup 폴더

이렇게 여러 위치에 침투함으로써 단순 삭제로는 완전 제거가 어려워집니다.

---

🛡 방어는 어떻게 해야 할까요?

Resolver RAT은 기존 인포스틸러의 대체제로 급부상할 만큼 강력하고 치밀합니다.
따라서 보안 담당자들은 아래 사항을 점검해야 합니다:

🔍 탐지 대응 가이드:

• 알려진 IOC(Indicators of Compromise) 업데이트
• HPReader.exe와 DLL 사이드로딩 관련 경고 강화
• 프로그램 설치 시 디지털 서명 검증
• 랜덤화된 C2 통신 감지 가능하도록 EDR 및 NDR 설정 강화

🧪 사용자 입장에서는?

• 알 수 없는 ZIP 파일 절대 열지 않기!
• 출처 불명의 PDF 뷰어 설치하지 않기
• 저작권, 고소장 관련 메일은 링크 클릭 금지

---

🔚 결론

Resolver RAT은 단순한 RAT가 아니라, 진화된 사이버 위협이에요.
은폐, 분석 회피, 다층적 지속성까지 갖추고 있어 기업 보안망의 허점을 노립니다.
특히 의료, 제약, 정부, 언론 분야를 중심으로 이미 글로벌 확산이 시작됐기에,
하루라도 빨리 탐지 규칙을 반영하고 대응 체계를 강화하는 것이 무엇보다 중요해요.

👀 끝으로 한 마디!
"사이버 위협은 멀리 있는 게 아닙니다. 딱 한 번의 클ㅇ릭이 기업을 마비시킬 수도 있습니다."