일본 노린 MostereRAT 피싱 캠페인: AV 무력화와 원격제어까지 😨

최근 사이버보안 업계에서 충격적인 보고서가 나왔습니다.
Fortinet의 FortiGuard Labs 연구진이 MostereRAT이라는 새로운 원격 액세스 트로이목마(RAT)를 추적했는데요,
단순한 피싱 이메일에서 시작해 백신 무력화, 관리자 권한 탈취, 합법적인 원격 제어 프로그램 악용까지 이어지는
매우 교묘한 공격 기법이 드러났습니다.

이번 공격은 일본의 Windows 사용자를 주요 표적으로 삼았으며, 공격자는 장기적이고 은밀한 침투를 목표로 하고 있습니다.
보통 피싱 메일은 단순히 계정 정보를 훔치는 수준으로 끝나는 경우가 많지만, MostereRAT은
“설치되면 기업 환경 전체를 지배할 수 있는 무기화된 RAT”에 가깝습니다.

---

어떻게 침투했을까? 🎣

공격은 익숙한 시나리오로 시작됩니다.

1. 피싱 메일 – 평범한 비즈니스 문의처럼 꾸며진 이메일을 일본 기업 사용자들에게 발송
2. 악성 링크 클릭 – 메일에 포함된 링크를 클릭하면 악성 Word 문서 다운로드
3. 문서 실행 – 문서 내부에 숨겨진 압축 파일이 풀리면서 MostereRAT 설치

여기까지만 보면 평범한 피싱 캠페인 같죠. 하지만 MostereRAT의 특징은 개발 언어에 있습니다.
이 악성코드는 대부분의 보안 솔루션에서 생소한 EPL(Easy Programming Language, 중국어 기반 언어)로 작성돼 있어
탐지가 어렵습니다.
보안 툴들이 주로 영어권 언어(C, C++, Python 등)에 최적화되어 있다 보니,
이런 생소한 언어는 분석 속도를 늦추는 효과를 주는 거죠.

---

MostereRAT 내부 구조 🧩

Fortinet의 분석에 따르면 MostereRAT은 두 가지 주요 모듈로 나뉩니다.

• 1번 모듈: 지속성 확보, 권한 상승, 백신 무력화, 추가 페이로드 배포
• 2번 모듈: 본격적인 RAT 기능 (37개 명령 지원, mTLS 통신, 원격 제어)

이 모듈들은 계단식으로 암호화된 페이로드를 해제하며 실행되는데,
최종적으로 공격자가 원하는 모든 조작이 가능한 원격 제어 환경을 구축합니다.

---

특히 위험한 기능들 🚨

1. TrustedInstaller 권한 탈취
   • Windows 시스템에서 가장 강력한 권한 중 하나인 TrustedInstaller 권한으로 실행
   • 관리자(Admin)도 손대기 어려운 시스템 파일·레지스트리 수정 가능
2. 합법적인 원격 제어 툴 악용
   • AnyDesk, TightVNC 같은 유명 원격제어 툴을 설치
   • 보안 솔루션은 이들을 정상 소프트웨어로 인식 → 공격자가 자유롭게 장기 접속
3. 보안 제품 무력화
   • 하드코딩된 AV/EDR 제품 목록을 기반으로 차례차례 무력화
   • Windows Defender, McAfee, Kaspersky, Bitdefender는 물론 중국산 360 Safe, Kingsoft 등도 포함
   • Windows Filtering Platform(WFP) 필터를 활용해 보안 제품의 로그 전송·탐지 보고 차단
4. 정보 탈취 기능
   • 키로깅(키 입력 기록)
   • 파일 업로드/다운로드
   • 숨겨진 관리자 계정 생성

결국 사용자가 평소처럼 PC를 쓰고 있어도, 공격자는 뒤에서 모든 걸 볼 수 있는 상황이 됩니다.

---

왜 위험한가? 🤯

MostereRAT이 무서운 이유는 단순히 기술적 정교함 때문만은 아닙니다.

• 장기적 침투: 공격자는 일회성이 아닌, 조직 내부에 수개월~수년간 머물 수 있도록 설계
• 합법 도구 악용: AnyDesk 같은 툴은 기업에서도 원격 지원용으로 자주 쓰이기 때문에 이상 징후로 감지하기 어려움
• 보안 우회: 백신과 EDR을 차단하니, 기존 탐지 체계는 무용지물이 됨

이건 단순한 “피싱”이 아니라, 기업 네트워크 내부에 “은밀한 스파이”를 심어두는 행위라고 볼 수 있습니다.

---

방어 전략 🛡️

그렇다면 우리는 어떻게 방어해야 할까요? Fortinet과 보안 전문가들은 몇 가지 핵심 조치를 권고합니다.

1. 로컬 관리자 권한 최소화
   • 많은 악성코드가 권한 상승에 의존
   • 일반 사용자에게 관리자 권한 제거만 해도 피해 범위를 크게 줄일 수 있음
2. 원격 제어 툴 모니터링
   • AnyDesk, TightVNC 등 승인되지 않은 원격 툴 사용 차단
   • SIEM/EDR 로그에서 원격 제어 세션 생성 여부 지속 모니터링
3. 이메일 보안 강화
   • URL 필터링, 첨부파일 샌드박스 검증
   • 직원 대상 피싱 훈련 정기적 실시
4. 엔드포인트 보안 정책 강화
   • AV/EDR 무력화 시도를 탐지하는 룰 설정
   • WFP 필터 변조 탐지 로직 모니터링
5. 다단계 인증(MFA) 활성화
   • 공격자가 계정 탈취 후 lateral movement(횡적 이동) 시도를 막는 핵심 방어 수단

---

마무리 ✍️

MostereRAT은 단순히 “새로운 악성코드”가 아닙니다.

• EPL 같은 희귀 언어 활용
• TrustedInstaller 권한 탈취
• 보안 솔루션 무력화
• 합법 원격 제어 툴 악용

이 네 가지를 결합하면서, 공격자는 보이지 않는 장기 스파이 환경을 만들어냅니다.

결국 교훈은 하나입니다.
👉 “권한 최소화, 원격 툴 차단, 피싱 대응 강화”가 기업 방어의 핵심입니다.

MostereRAT은 일본을 주요 타깃으로 삼았지만, 언제든 글로벌로 확산될 수 있습니다.
지금이라도 우리 조직이 동일한 공격에 노출될 수 있는지 점검해야 할 시점입니다. ⚡