CountLoader Malware

사이버 보안 분석가들은 불법 복제 소프트웨어를 제공하는 웹사이트를 악용하여 CountLoader라는 이름의 은밀한 모듈형 로더의 최신 변종을 유포하는 새로운 악성코드 유포 캠페인을 발견했습니다. 크랙된 애플리케이션을 찾는 사용자들을 노리는 이 공격자들은 은밀한 접근, 방어 체계 회피, 그리고 단계적인 추가 악성 도구 배포를 가능하게 하는 초기 발판을 마련합니다.

다단계 침입에서 CountLoader의 역할

이번 캠페인에서 CountLoader는 광범위한 공격 체인의 첫 번째 구성 요소 역할을 합니다. 이전 조사에서 CountLoader는 Cobalt Strike, AdaptixC2, PureHVNC RAT, Amatera Stealer, PureMiner 등 다양한 보조 페이로드를 배포할 수 있는 것으로 나타났습니다. 여러 증거에 따르면 CountLoader는 적어도 2025년 6월부터 실제 공격에 활발하게 사용되어 왔으며, 이는 CountLoader의 성숙도와 지속적인 개발을 보여줍니다.

가짜 다운로드부터 조용한 처형까지

감염 과정은 피해자가 마이크로소프트 워드와 같은 정품 소프트웨어의 크랙 버전을 다운로드하려고 시도할 때 시작됩니다. 약속된 애플리케이션을 받는 대신, 미디어파이어(MediaFire)에 호스팅된 ZIP 압축 파일로 리디렉션됩니다. 이 압축 파일에는 두 가지 핵심 항목이 포함되어 있는데, 하나는 암호화된 ZIP 파일이고 다른 하나는 해당 파일을 열기 위한 암호가 적힌 워드 문서입니다.

보호된 압축 파일 내부에는 Setup.exe로 이름이 변경된 정상적인 Python 인터프리터가 있습니다. 이 실행 파일은 mshta.exe를 이용하여 원격 서버에서 CountLoader 버전 3.2를 가져오는 악성 명령을 실행하도록 구성되어 있으며, 이를 통해 시스템 침해를 은밀하게 시작합니다.

기만과 환경 인식을 통한 끈기

악성 프로그램은 장기적인 접근을 확보하기 위해 합법적인 것처럼 보이도록 설계된 예약 작업을 생성하여 지속성을 확보합니다. 이 작업은 'GoogleTaskSystem136.0.7023.12'라는 이름과 고유 식별자와 유사한 문자열을 사용합니다. 이 작업은 10년 동안 30분마다 실행되도록 구성되어 있으며, mshta.exe를 호출하고 필요한 경우 대체 도메인을 사용합니다.

CountLoader는 지속성 메커니즘을 최종 확정하기 전에 Windows Management Instrumentation(WMI)을 통해 안티바이러스 인벤토리를 조회하여 시스템에 특정 보안 제품이 설치되어 있는지 확인합니다. 해당 도구가 감지되면 로더는 실행 방식을 미묘하게 변경하여 `cmd.exe /c start /b mshta.exe`를 사용합니다. 감지되지 않으면 `mshta.exe`를 사용하여 원격 URL에 직접 접속하므로 마찰과 의심을 최소화합니다.

확장된 기능과 모듈형 특징

CountLoader는 일단 설치되면 감염된 호스트의 프로파일링을 수행하고 필요에 따라 추가 페이로드를 검색합니다. 최신 버전에서는 이동식 USB 드라이브를 통한 확산 및 mshta.exe 또는 PowerShell을 사용하여 메모리에서 악성 코드를 직접 실행하는 기능 등 새로운 기능이 추가되었습니다. 지원되는 기능은 다음과 같습니다.

• 원격 URL에서 실행 파일을 가져와 실행하기
• ZIP 압축 파일을 다운로드하고 그 안에 포함된 Python 모듈이나 EXE 파일을 실행합니다.
• DLL 파일을 가져와 rundll32.exe를 통해 실행합니다.
• MSI 패키지 다운로드 및 설치
• 포렌식 흔적을 줄이기 위해 자체 예약 작업을 제거합니다.
• 상세한 시스템 정보를 수집하고 유출합니다.
• 악성 LNK 파일을 생성하여 원본 파일을 숨긴 후, mshta.exe를 통해 명령 및 제어 매개변수를 사용하여 정상 파일과 악성 파일을 모두 실행함으로써 이동식 저장 장치를 통해 확산됩니다.
• 공격자가 제어하는 URL에 대해 mshta.exe를 직접 실행합니다.
• 원격 PowerShell 페이로드를 메모리에서 완전히 실행합니다.

최종 탑재물: ACR 스틸러

관찰된 공격 과정에서 CountLoader는 최종적으로 ACR Stealer라는 정보 탈취 악성코드를 유포했는데, 이는 감염된 시스템에서 민감한 데이터를 빼돌리도록 설계되었습니다. 이 최종 단계는 불법 복제 소프트웨어를 이용한 초기 유인책을 본격적인 데이터 탈취 작전으로 전환시킵니다.

이번 캠페인이 수비진에게 주는 메시지는 무엇인가?

이번 공격은 CountLoader의 지속적인 진화와 정교함의 증가를 보여줍니다. 파이썬 인터프리터 악용, 예약된 작업 위장, 서명된 바이너리 오용, 파일 없는 메모리 실행 등의 조합은 더욱 은밀한 침입 기법으로의 전환을 시사합니다. 방어자들에게 이번 공격은 사전 예방적 모니터링, 다층적인 보안 제어, 그리고 특히 승인되지 않았거나 크랙된 소프트웨어를 다운로드하는 위험성에 대한 사용자 인식 제고의 중요성을 다시 한번 강조합니다.