다중 라이센스 할인 견적
위협 데이터베이스 원격 관리 도구 Interlock RAT

Interlock RAT

원격 관리 도구, 지능형 지속 위협(APT), 랜섬웨어년에 Mezo 년까지
번역 :

Interlock 랜섬웨어 작전의 배후에 있는 사이버 범죄자들이 자체 원격 접속 트로이 목마(RAT)인 Interlock RAT(NodeSnake라고도 함)의 PHP 변종을 새롭게 개발하여 공격 수위를 높이고 있습니다. 이 업그레이드된 위협은 기존 ClickFix 기법에서 파생된 FileFix라는 진화된 전송 메커니즘을 사용하는 광범위한 캠페인에서 발견되었습니다. 이러한 개발은 해당 조직의 공격 전략에 중대한 변화를 가져오며, 공격 범위가 확대되고 기술적 정교함이 향상되었음을 보여줍니다.

은밀한 진입: 스크립트 주입 및 트래픽 리디렉션

2025년 5월부터 시작된 이 캠페인은 HTML 코드에 겉보기에 무해한 단일 줄짜리 자바스크립트 코드가 삽입된 감염된 웹사이트에서 시작됩니다. 이 스크립트는 트래픽 분배 시스템(TDS) 역할을 하며, IP 기반 필터링을 사용하여 타겟 방문자를 가짜 CAPTCHA 확인 페이지로 리디렉션합니다. 이러한 사기성 페이지는 ClickFix 기반 미끼를 사용하여 사용자를 속여 악성 PowerShell 스크립트를 실행하도록 합니다. 결과적으로 Interlock RAT가 설치되어 공격자가 피해자 시스템에 침투할 수 있는 발판을 마련합니다.

FileFix: 무기화된 배달 혁신

2025년 6월에 관찰된 최신 캠페인은 ClickFix의 더욱 발전된 버전인 FileFix를 핵심 감염 벡터로 사용하는 것을 보여줍니다. FileFix는 Windows 파일 탐색기의 주소 표시줄을 악용하여 사용자가 악성 명령을 실행하도록 유도하는 사회 공학적 기법을 사용합니다. 2025년 6월 개념 증명(PoC)으로 처음 시연되었던 FileFix는 현재 Interlock RAT의 PHP 변종을 배포하는 데 활용되고 있으며, 경우에 따라 이러한 배포는 더 전통적인 Node.js 기반 변종 설치의 전조 역할을 하기도 합니다.

다단계 탑재체 및 스텔스 기능

Interlock RAT가 배포되면 호스트 정찰 및 JSON 형식으로 시스템 정보 유출을 시작합니다. 권한 수준(USER, ADMIN 또는 SYSTEM)을 확인하고 원격 명령 및 제어(C2) 서버와 연결을 설정합니다. 실행을 위해 EXE 또는 DLL 파일 형태의 추가 페이로드를 가져옵니다.

  • 지속성 메커니즘에는 다음이 포함됩니다.
  • 시작 실행을 유지하기 위해 Windows 레지스트리를 수정합니다.
  • RDP(원격 데스크톱 프로토콜) 액세스를 통해 측면 이동을 활성화합니다.

더욱이, 주목할 만한 우회 기법 중 하나는 Cloudflare Tunnel 하위 도메인을 사용하여 C2 서버의 실제 위치를 숨기는 것입니다. 하드코딩된 IP 주소는 터널이 중단될 경우 연결을 유지하기 위한 백업 역할을 합니다.

위협 추적: 과거 목표와 현재 동기

2025년 초, Interlock RAT는 Node.js 변종을 활용하여 영국 지방 정부와 교육 기관을 공격했습니다. 그러나 최근 웹 개발 언어인 PHP로의 전환은 더 광범위한 산업을 겨냥한 더욱 기회주의적인 접근 방식을 시사합니다. PHP로의 전환은 감염 경로를 확대하고 취약한 웹 기반 인프라를 악용하려는 전술적 결정을 시사합니다.

캠페인의 주요 지표

피해자와 사이버 보안 요원은 Interlock의 최신 작전에서 다음과 같은 특징이 있다는 점에 주의해야 합니다.

초기 공격 벡터:

  • 합법적이지만 손상된 웹사이트에 단일 줄 JavaScript를 주입합니다.
  • IP 필터링을 사용하여 가짜 CAPTCHA 페이지로 리디렉션합니다.

감염 후 맬웨어 동작:

  • 호스트 정찰 및 JSON 형식의 시스템 정보 유출.
  • 권한 검사 및 원격 페이로드 실행.
  • 이동을 위한 레지스트리 기반 지속성 및 RDP 활용.

결론: Interlock Group의 위협 프로필 증가

Interlock RAT의 PHP 변종이 등장한 것은 이 그룹의 다재다능함과 방어적 대응책보다 앞서 나가려는 의지를 보여줍니다. Interlock 공격자들은 웹 스크립팅과 기본 시스템 기능을 모두 활용하여 기존 악성코드 유포와 일상적인 시스템 기능의 악용 사이의 경계를 모호하게 만들고 있습니다. 보안팀은 경계를 늦추지 않고 이러한 진화하는 위협을 탐지하고 차단하기 위해 다층적인 방어 체계를 구축해야 합니다.

트렌드

Gerolax 암호화폐 사기

불량 웹사이트
디지털 금융이 끊임없이 발전함에 따라, 이를 악용하는 사기 수법도 함께 발전하고 있습니다. 사이버 범죄자들은 소셜 엔지니어링, 딥페이크, 그리고 암호화폐의 탈중앙화 특성을 악용하여 사기 행위를 저지르는 등 수법이 점점 더 정교해지고 있습니다. 제롤락스 암호화폐 사기(Gerolax Crypto Scam)는 합법적인 암호화폐 거래 플랫폼으로 교묘하게...

주문 사기

멀웨어, 피싱, 스팸
디지털 시대에 이메일은 가장 흔한 의사소통 도구 중 하나이자 가장 많이 남용되는 도구 중 하나입니다. 온라인에서 유포되는 수많은 악성 이메일 캠페인 중 소위 '주문 배치 사기'는 사이버 범죄자들이 어떻게 속임수와 사회 공학을 이용하여 악성 코드를 유포하고 피해자의 시스템을 손상시키는지 보여주는 명백한 사례입니다. 이 캠페인은 설득력 있는...

Wild Nature

잠재적으로 원하지 않는 프로그램, 브라우저 하이재커
온라인 보안이 그 어느 때보다 중요한 시대에, 사용자는 잠재적으로 원치 않는 프로그램(PUP)과 같은 침입형 소프트웨어에 항상 주의를 기울여야 합니다. 겉보기에 무해해 보이는 이러한 도구는 눈에 띄지 않게 기기에 침투하여 유용한 유틸리티처럼 위장하는 경우가 많습니다. 하지만 실제로는 브라우저 기능을 방해하고, 사용자 행동을 추적하며, 사용자를...

가장 많이 본

'프린터 드라이버를 사용할 수 없음'오류를 수정하는 방법

문제
59,383
프린터는 사용자가 가장 필요로 할 때마다 작업을 거부하는 것으로 유명합니다. 다행히 프린터에 프린터 드라이버를 사용할 수 없음' 오류가 표시되는 경우 문제를 해결할 수 있는 몇 가지 쉬운 솔루션이 있습니다. 이 특정 오류는 손상된 드라이버 파일, 오래된 드라이버 또는 드라이버 비호환성으로 인해 발생할 수 있습니다. Microsoft의 일반 드라이버를...
화면을 공유 할 때 Discord에 검은 색 화면이 표시됨 스크린샷

화면을 공유 할 때 Discord에 검은 색 화면이 표시됨

문제
46,461
처음 출시되었을 때 Discord는 게임 커뮤니티를 위한 VoIP 플랫폼이었습니다. 그러나 그 후 몇 년 동안 범위를 확장하고 수많은 새로운 기능을 추가했으며 월간 활성 사용자가 1억 4천만 명이 넘는 가장 큰 소셜 플랫폼 중 하나가 되었습니다. 현재 사용자는 개인 인스턴트 메시지를 보내고, VoIP 및 화상 통화를 시작하고, 컴퓨터 화면을...

Discord가 회색 화면에 멈춤

문제
45,885
때때로 Discord 응용 프로그램을 사용하는 동안 사용자가 회색 화면에서 멈출 수 있습니다. 스트리밍 또는 단순히 응용 프로그램을 로드하는 동안 문제가 발생할 수 있습니다. 이 문제가 발생하고 해결 방법이 궁금하다면 다음 해결 방법을 시도해 보십시오. 화면 모드 간 전환 원인이 시각적 결함이고 더 심각한 것이 아닌 경우 전체 화면 모드 또는 더 작은...
로드 중...