다중 라이센스 할인 견적
위협 데이터베이스 원격 관리 도구 AGEWHEEZE RAT

AGEWHEEZE RAT

원격 관리 도구, 지능형 지속 위협(APT)년에 Mezo 년까지
번역 :

사이버 보안 분석가들은 공격자들이 우크라이나 컴퓨터 비상 대응팀(CERT)을 사칭하여 AGEWHEEZE라는 원격 관리 도구를 배포하는 표적 피싱 공격을 발견했습니다. UAC-0255 그룹 소행으로 추정되는 이 공격은 2026년 3월 26일과 27일에 발송된 기만적인 이메일을 통해 이루어졌으며, 수신자들에게 '특수 소프트웨어'를 설치하도록 유도했습니다.

이 이메일에는 Files.fm에 호스팅된 비밀번호로 보호된 ZIP 압축 파일 링크가 포함되어 있었습니다. CERT_UA_protection_tool.zip이라는 이름의 이 압축 파일은 합법적인 보안 유틸리티처럼 위장했지만, 실제로는 악성 페이로드를 담고 있었습니다. 일부 메시지는 'incidents@cert-ua.tech'라는 위조된 이메일 주소에서 발송되어 더욱 그럴듯해 보였습니다.

목표 프로필 및 공격 범위

이번 작전은 국가 기반 시설 및 공공 서비스에 중요한 다양한 조직을 대상으로 광범위하게 진행되었습니다. 대상에는 다음이 포함되었습니다.

  • 정부 및 국가 기관
  • 의료 및 보건 시설
  • 보안 및 방위 관련 회사
  • 교육 기관
  • 금융기관
  • 소프트웨어 개발 회사

광범위한 타겟팅 전략에도 불구하고 캠페인의 전반적인 효과는 제한적인 것으로 나타났습니다. 확인된 감염 사례는 소수에 불과했으며, 주로 교육 기관 소속 직원들의 개인 기기에서 발생한 감염이었습니다.

AGEWHEEZE 내부: 기능 및 지속성 메커니즘

AGEWHEEZE는 광범위한 시스템 제어 및 감시를 위해 설계된 Go 기반 원격 접속 트로이목마입니다. 배포되면 WebSocket 프로토콜을 사용하여 54.36.237.92 주소의 명령 및 제어 서버와 통신을 설정합니다.

이 악성 소프트웨어는 공격자가 다음과 같은 광범위한 악의적인 활동을 수행할 수 있도록 합니다.

  • 임의의 명령을 실행하고 시스템 프로세스를 관리합니다.
  • 파일 작업을 수행하고 저장된 데이터를 조작합니다.
  • 스크린샷 캡처 및 사용자 활동 모니터링
  • 마우스 및 키보드 입력 에뮬레이션
  • 클립보드 내용 변경
  • 예약된 작업, Windows 레지스트리 수정 또는 시작 디렉터리 배치를 통해 지속성을 유지합니다.

이러한 기능들의 조합으로 AGEWHEEZE는 첩보 활동, 수평 이동 및 장기적인 시스템 침투를 위한 다목적 도구가 됩니다.

기만적인 인프라 및 AI 지원 조작

사기성 도메인 'cert-ua.tech'에 대한 조사 결과 자동화 또는 AI 지원 개발의 징후가 드러났습니다. 웹사이트의 HTML 소스 코드에는 러시아어로 된 주목할 만한 주석 'С Любовью, КИБЕР СЕРП'('사랑을 담아, 사이버 서프')가 포함되어 있었는데, 이는 사이버 서프(Cyber Serp)라는 이름의 그룹이 이 도메인을 개발했음을 시사합니다.

사이버 세르프(Cyber Serp)는 2025년 11월에 개설되어 700명 이상의 구독자를 확보한 텔레그램 채널을 통해 우크라이나 사이버 지하 조직과의 연계를 주장했습니다. 이 그룹은 최대 100만 개의 이메일 계정을 대상으로 한 피싱 공격과 20만 대 이상의 기기 해킹 피해를 입혔다고 공개적으로 밝혔는데, 이는 독립적인 평가 결과를 크게 상회하는 수치입니다.

상충되는 주장과 광범위한 위협 활동

사이버 세르프는 일반 시민에게는 영향을 미치지 않을 것이라는 주장을 펼치며 자신들을 선별적인 공격자로 포지셔닝하려 했습니다. 그러나 이러한 주장은 대규모 피싱 캠페인의 무차별적인 특성과 모순됩니다.

별개의 사건에서 해당 그룹은 Cipher 해킹에 대한 책임을 주장하며 서버 데이터, 클라이언트 데이터베이스 및 독점 소스 코드에 접근했다고 주장했습니다. Cipher는 이후 직원 계정 정보와 관련된 제한적인 침해 사실을 확인했지만 다음과 같이 강조했습니다.

  • 핵심 인프라는 안전하게 유지되었으며 정상적으로 작동했습니다.
  • 해당 계정은 민감하지 않은 프로젝트 하나에만 접근 권한이 있었습니다.

이러한 차이는 위협 행위자들이 영향력과 신뢰도를 높이기 위해 실제 피해를 과장하는 일반적인 전술을 보여줍니다.

평가 및 보안 관련 사항

이번 공격은 특히 신뢰할 수 있는 국가 사이버 보안 기관을 악용하는 경우, 사칭 전술이 여전히 효과적임을 보여줍니다. 즉각적인 영향은 제한적이었지만, AGEWHEEZE의 기술적 정교함과 대규모 배포 시도는 지속적이고 진화하는 위협 환경을 시사합니다.

조직은 이메일 인증 절차를 강화하고, 원치 않는 첨부 파일을 꼼꼼히 검토하며, 권위 있는 기관을 사칭하려는 시도를 식별하는 방법에 대해 직원 교육을 실시하는 것이 좋습니다.

트렌드

Uragan Ransomware

랜섬웨어
사이버 위협이 더욱 복잡해지고 영향력이 커짐에 따라, 최신 악성코드로부터 기기를 보호하는 것은 매우 중요한 과제가 되었습니다. 특히 랜섬웨어는 개인과 조직에 심각한 위협을 가하는데, 중요한 데이터에 대한 접근을 차단하고 데이터 복구를 위해 금전을 요구하기 때문입니다. 사이버 보안 연구원들이 발견한 고도화된 위협 중 하나인 우라간(Uragan)...

글래스웜 멀웨어

멀웨어, 지능형 지속 위협(APT)
새로운 글래스웜(GlassWorm) 악성코드 공격이 소프트웨어 공급망을 적극적으로 노리고 있습니다. 탈취한 GitHub 토큰을 악용하여 수백 개의 저장소에 악성 코드를 삽입하는 방식입니다. 이 공격은 주로 파이썬 기반 프로젝트, 특히 Django 애플리케이션, 머신러닝 연구 코드, Streamlit 대시보드, PyPI 패키지 등을 대상으로 합니다. 이...

가장 많이 본

'프린터 드라이버를 사용할 수 없음'오류를 수정하는 방법

문제
35,538
프린터는 사용자가 가장 필요로 할 때마다 작업을 거부하는 것으로 유명합니다. 다행히 프린터에 프린터 드라이버를 사용할 수 없음' 오류가 표시되는 경우 문제를 해결할 수 있는 몇 가지 쉬운 솔루션이 있습니다. 이 특정 오류는 손상된 드라이버 파일, 오래된 드라이버 또는 드라이버 비호환성으로 인해 발생할 수 있습니다. Microsoft의 일반 드라이버를...
화면을 공유 할 때 Discord에 검은 색 화면이 표시됨 스크린샷

화면을 공유 할 때 Discord에 검은 색 화면이 표시됨

문제
29,623
처음 출시되었을 때 Discord는 게임 커뮤니티를 위한 VoIP 플랫폼이었습니다. 그러나 그 후 몇 년 동안 범위를 확장하고 수많은 새로운 기능을 추가했으며 월간 활성 사용자가 1억 4천만 명이 넘는 가장 큰 소셜 플랫폼 중 하나가 되었습니다. 현재 사용자는 개인 인스턴트 메시지를 보내고, VoIP 및 화상 통화를 시작하고, 컴퓨터 화면을...

에포르너닷컴

문제
24,303
인터넷은 유용한 콘텐츠, 엔터테인먼트, 정보로 가득한 광활한 공간이지만, 어두운 구석도 있습니다. TV 프로그램을 스트리밍하든, 앱을 다운로드하든, 성인 콘텐츠 플랫폼을 방문하든 항상 경계해야 합니다. 많은 사이트, 특히 공격적인 광고로 성행하는 사이트는 심각한 보안 위험을 초래할 수 있습니다. 이러한 우려를 불러일으킨 사이트 중 하나가 바로...
로드 중...