두 트로이 목마 모두 그래픽 사용자 인터페이스가 부족하므로 개발에 Qt를 사용하는 선택이 이상해 보일 수 있습니다. 그러나 이 플랫폼에서는 악성 프로그램이 거의 개발되지 않아 탐지 및 분석이 어렵습니다. 그러나 거의 동일한 기능을 수행함에도 불구하고 QuiteRAT는 MagicRAT에 비해 크기가 훨씬 작습니다(4MB~5MB 대 18MB). 따라서 공격자가 감염된 컴퓨터에서 명령과 추가 페이로드를 원격으로 실행할 수 있습니다.

차이점은 QuiteRAT에 몇 가지 필수 Qt 라이브러리만 포함되어 있는 반면 MagicRAT는 전체 프레임워크를 컴파일하여 훨씬 더 크게 만드는 보다 간소화된 개발 프로세스에서 비롯됩니다.

컴퓨터에 배포되면 QuiteRAT는 MAC 주소, IP 주소 및 장치의 현재 사용자 이름과 같은 기본 정보를 수집합니다. 하드코딩된 명령 및 제어 서버에 연결하고 명령이 실행될 때까지 기다립니다.

실행된 명령 중 하나는 악성 프로그램을 절전 모드로 전환하고 지정된 기간 동안 C2 서버와의 통신을 중지하는 것이었습니다. 이는 아마도 영향을 받은 네트워크 내에서 공격자가 탐지되지 않도록 하기 위한 시도일 수 있습니다. QuiteRAT에는 지속성 메커니즘이 내장되어 있지 않지만 C2 서버는 재부팅 후 악성코드를 실행하도록 레지스트리 항목을 설정하는 명령을 보낼 수 있습니다.

두 번째는 새로운 원격 액세스 트로이목마인 CollectionRAT입니다.

QuiteRAT 공격을 조사하는 동안 Talos 연구원들은 Lazarus의 C2 인프라를 조사한 결과 CollectionRAT라고 불리는 또 다른 RAT 프로그램을 포함한 추가 도구를 발견했습니다. Talos 연구원은 “우리는 이 캠페인에 사용된 QuiteRAT 및 오픈 소스 DeimosC2 에이전트가 2022년 이전 캠페인에서 Lazarus 팀이 사용한 것과 동일한 원격 위치에서 호스팅된다는 사실을 발견했습니다.”라고 Talos 연구원은 말했습니다. “이 인프라는 공격자의 무기고에 있는 새로운 악성 코드인 CollectionRAT를 명령하고 제어하는 ​​데 사용되었습니다.”

CollectionRAT는 과거 북한의 사이버 공격과 관련하여 CISA와 카스퍼스키 랩이 기록한 또 다른 악성 코드 프로그램인 Jupiter/EarlyRAT와 연결된 것으로 보입니다. QuiteRAT과 마찬가지로 CollectionRAT는 기존에 Windows 애플리케이션용 사용자 인터페이스를 개발하는 데 사용된 공식 라이브러리인 MFC(Microsoft Foundation Classes)와 같은 색다른 도구를 사용하여 개발되었습니다. MFC는 즉시 맬웨어 코드를 해독하고 실행하는 데 사용할 수 있지만 Windows OS의 내부 구현을 추상화하고 다양한 구성 요소가 서로 더 쉽게 작동할 수 있도록 하는 동시에 개발을 단순화하는 이점도 있습니다.