CAPI 백도어

사이버 보안 연구원들이 러시아 자동차 및 전자상거래 분야를 겨냥한 새로운 악성코드 캠페인을 발견했습니다. 이 공격은 이전에 문서화되지 않았던 .NET 악성코드(현재 CAPI 백도어로 확인됨)를 활용하는데, 이는 고도화된 우회 및 데이터 유출 기법을 보여줍니다.

감염 벡터: 피싱 및 ZIP 아카이브

감염 경로는 ZIP 아카이브가 포함된 피싱 이메일로 시작됩니다. 2025년 10월 3일자 ZIP 아티팩트를 분석한 결과, 소득세 관련 공지로 위장한 러시아어 문서가 발견되었습니다. 이 문서에는 아카이브와 동일한 이름의 Windows 바로 가기(LNK) 파일("Перерасчет заработной платы 01.10.2025")이 함께 포함되어 있습니다.

이 LNK 파일은 합법적인 Microsoft 바이너리인 rundll32.exe를 통해 백도어 DLL(adobe.dll)을 실행하는데, 이는 정교한 위협 행위자가 일반적으로 사용하는 토지 자급자족(LotL) 기술을 사용합니다.

백도어 기능: 은밀함 및 데이터 도난

CAPI 백도어가 실행되면 은밀성을 유지하면서 여러 작업을 수행합니다.

• 관리자 권한 확인
• 설치된 바이러스 백신 제품 목록을 수집합니다.
• 방해물로 미끼 문서를 엽니다.
• 추가 명령을 수신하기 위해 원격 서버(91.223.75[.]96)에 연결합니다.

수신된 명령을 통해 맬웨어는 다음을 수행할 수 있습니다.

• Google Chrome, Microsoft Edge, Mozilla Firefox 등 웹 브라우저에서 자격 증명과 데이터를 훔칩니다.
• 스크린샷 캡처
• 시스템 정보 수집
• 폴더 내용을 열거하고 원격 서버로 추출합니다.

회피 및 지속 메커니즘

CAPI 백도어는 가상 환경에서 실행 중인지 실제 호스트에서 실행 중인지 확인하기 위해 여러 가지 검사를 수행합니다. 지속성을 위해 다음 두 가지 방법을 사용합니다.

• 예약된 작업 만들기

타겟 귀속 및 지표

전문가들은 이 캠페인이 합법적인 carprice.ru를 사칭한 carprlce.ru 도메인을 사용했기 때문에 러시아 자동차 산업과 관련이 있다고 보고 있습니다.

맬웨어 자체는 주로 스틸러로 설계된 .NET DLL로, 민감한 정보를 빼내는 동시에 지속적인 악의적 작업을 위한 지속성을 확립합니다.