DRILLAPP 백도어

사이버 보안 분석가들은 우크라이나 기관들을 표적으로 삼는 새로운 위협 캠페인을 발견했으며, 러시아와 연계된 해커들의 개입 가능성을 시사하는 정황들이 포착되었습니다. 2026년 2월에 처음 관찰된 이 활동은 이전에 '런드리 베어(Laundry Bear, UAC-0190 또는 보이드 블리자드(Void Blizzard)'로도 추적됨)'라는 그룹이 벌인 작전과 기술적으로 유사한 점이 있습니다. 이전 작전은 우크라이나 국방군을 표적으로 삼아 PLUGGYAPE라는 악성코드 패밀리를 유포했습니다.

최근 공격에서는 마이크로소프트 엣지 브라우저를 통해 실행되는 자바스크립트 기반 백도어가 발견되었습니다. 연구원들이 DRILLAPP이라고 명명한 이 악성코드는 브라우저 기능을 악용하여 파일 업로드 및 다운로드, 마이크 접근, 피해자 웹캠 이미지 캡처 등의 작업을 수행하도록 설계되었습니다.

공격자들은 악성 구성 요소를 배포하기 위해 사회 공학적 전술을 사용합니다. 법적 문제나 자선 활동을 언급하는 미끼를 사용하여 피해자가 악성 파일을 열고 감염 과정을 시작하도록 유도합니다.

기만적인 유인책과 초기 감염 방법

해당 캠페인은 두 가지 변종으로 관찰되었습니다. 첫 번째 변종은 2026년 2월 초에 발견되었으며, 초기 전달 메커니즘으로 Windows 바로가기(LNK) 파일을 사용합니다. 이 바로가기가 실행되면 시스템의 임시 디렉터리에 HTML 애플리케이션(HTA) 파일이 생성됩니다. 그런 다음 이 HTA 파일은 합법적인 붙여넣기 공유 서비스인 Pastefy에 호스팅된 원격 스크립트를 가져옵니다.

공격자는 감염된 시스템에서 지속성을 유지하기 위해 악성 LNK 파일을 Windows 시작 폴더에 복사하여 시스템 재부팅 후 자동으로 실행되도록 합니다. 감염이 시작되면 피해자는 스타링크 설치 안내나 우크라이나 자선단체인 '컴 백 얼라이브 재단'을 언급하는 등 위장된 내용이 담긴 URL을 보게 됩니다.

HTA 파일은 궁극적으로 헤드리스 모드로 작동하는 Microsoft Edge 브라우저를 통해 실행되므로 브라우저는 표준 브라우저 창을 표시하지 않고 Pastefy에서 가져온 난독화된 스크립트를 실행할 수 있습니다.

브라우저 매개변수를 악용하여 은밀하게 접근하기

악성 프로세스는 기능을 극대화하기 위해 내장된 보안 보호 기능을 약화시키고 민감한 시스템 리소스에 대한 무단 액세스를 가능하게 하는 여러 매개변수를 사용하여 Edge 브라우저를 실행합니다.

이러한 매개변수를 사용하면 브라우저 인스턴스가 일반적인 보안 조치를 우회하고 브라우저 보안 모델에서 일반적으로 제한하는 작업을 수행할 수 있습니다. 이 구성을 통해 악성 프로그램은 피해자의 상호 작용 없이 로컬 파일에 접근하고, 오디오 및 비디오 스트림을 캡처하고, 화면 활동을 녹화할 수 있습니다.

공격에 사용된 주요 브라우저 매개변수는 다음과 같습니다.

--샌드박스 없음

--웹 보안 비활성화

--파일로부터의 파일 접근 허용

--미디어 스트림에 가짜 UI 사용

--auto-select-screen-capture-source=true

--사용자 미디어 보안 비활성화

이러한 설정을 악용하면 브라우저는 단순히 악성코드를 전달하는 플랫폼을 넘어 악성코드 인프라의 기능적 구성 요소가 됩니다.

브라우저 기반 백도어 및 감시 기능

DRILLAPP 아티팩트는 가볍지만 다재다능한 백도어 역할을 합니다. 활성화되면 공격자는 브라우저 기반 기능을 통해 감염된 시스템과 상호 작용할 수 있으며, 결과적으로 브라우저를 원격 감시 도구로 활용할 수 있게 됩니다.

해당 악성 소프트웨어는 감염된 기기에서 광범위한 모니터링 및 데이터 수집을 가능하게 하는 여러 작업을 수행할 수 있습니다.

핵심 역량은 다음과 같습니다.

• 로컬 시스템에서 파일 업로드 및 다운로드
• 기기 마이크를 통해 오디오를 캡처합니다.
• 웹캠을 통해 비디오 녹화
• 시스템 화면 캡처
• 캔버스 지문 인식 기술을 사용하여 고유한 장치 지문 생성

악성 프로그램은 처음 실행될 때 장치 지문을 생성하고 Pastefy를 '데드 드롭 리졸버'로 사용하여 명령 및 제어 통신에 사용되는 WebSocket 주소를 가져옵니다. 이러한 아키텍처를 통해 공격자는 감염된 시스템을 운영 인프라로 동적으로 리디렉션할 수 있습니다.

이 백도어는 피해자의 추정 지리적 위치 정보와 함께 장치 지문도 전송합니다. 위치는 시스템의 시간대를 기반으로 하며, 영국, 러시아, 독일, 프랑스, 중국, 일본, 미국, 브라질, 인도, 우크라이나, 캐나다, 호주, 이탈리아, 스페인, 폴란드 등 미리 정의된 목록과 비교됩니다. 시간대가 이러한 지역 중 어느 곳과도 일치하지 않으면 악성 프로그램은 기본적으로 시스템이 미국에 있는 것으로 식별합니다.

두 번째 캠페인 변형에서의 진화하는 기술

2026년 2월 말, 캠페인의 두 번째 버전이 등장하여 전반적인 공격 구조는 유지하면서 몇 가지 수정 사항을 도입했습니다. 업데이트된 변종은 LNK 바로가기 파일에 의존하는 대신 Windows 제어판 모듈을 초기 전달 메커니즘으로 사용합니다.

백도어 구성 요소 자체도 기능적으로 업그레이드되었습니다. 이러한 개선 사항을 통해 악성 프로그램은 파일 시스템에 대한 더욱 심층적인 작업을 수행하고 감염된 환경에서 데이터를 유출하는 능력을 향상시킬 수 있습니다.

주요 개선 사항으로는 재귀적 파일 열거, 일괄 파일 업로드, 그리고 감염된 시스템에 임의의 파일을 직접 다운로드할 수 있는 기능 등이 있습니다.

크로미움 디버깅 도구를 사용하여 자바스크립트 제한 우회하기

일반적인 JavaScript 보안 제한으로 인해 원격 코드가 피해자 시스템에 파일을 직접 다운로드하는 것이 차단됩니다. 이러한 제한을 우회하기 위해 공격자는 Chromium 기반 브라우저에서 사용하는 내부 디버깅 인터페이스인 Chrome DevTools Protocol(CDP)을 활용합니다.

CDP는 브라우저를 `--remote-debugging-port` 매개변수와 함께 실행했을 때만 접근할 수 있습니다. 이 디버깅 기능을 활성화하면 공격자는 브라우저 동작을 프로그래밍 방식으로 제어하고 일반적인 클라이언트 측 제한을 우회하여, 일반적으로 차단되는 원격 파일 다운로드를 가능하게 할 수 있습니다.

초기 개발 지표 및 실험 인프라

여러 정황으로 미루어 볼 때 해당 악성코드는 여전히 활발하게 개발 중인 것으로 보입니다. 2026년 1월 28일에 발견된 초기 변종은 Pastefy에서 주요 페이로드를 가져오는 대신 'gnome.com' 도메인과만 통신했습니다.

이러한 행동은 위협 행위자들이 여전히 백도어의 인프라와 운영 능력을 정교하게 다듬고 있을 가능성을 시사합니다.

브라우저 악용은 새로운 회피 전략으로 부상하고 있습니다.

이번 공격 캠페인의 가장 중요한 특징 중 하나는 백도어의 주요 실행 환경으로 웹 브라우저를 의도적으로 사용했다는 점입니다. 이러한 접근 방식은 공격자들이 탐지를 피하기 위해 합법적인 소프트웨어를 악용하는 새로운 추세를 보여줍니다.

브라우저는 악의적인 행위에 여러 가지 이점을 제공합니다. 브라우저는 널리 사용되고 일반적으로 무해한 프로세스로 간주되므로 즉각적인 의심을 받기 어렵습니다. 또한 브라우저 디버깅 매개변수를 활용하면 원격 파일 다운로드 및 광범위한 시스템 접근과 같이 일반적으로 제한된 작업을 수행할 수 있는 강력한 기능을 활성화할 수 있습니다.

더욱이 브라우저는 마이크, 카메라, 화면 캡처 장치와 같은 민감한 하드웨어 리소스와 상호 작용할 수 있는 합법적인 권한을 유지하므로 공격자는 정상적인 시스템 동작에 위장하여 감시 활동을 수행할 수 있습니다.