LOSTKEYS 악성코드

러시아와 연계된 위협 행위자 COLDRIVER가 기존의 신원 정보 피싱 캠페인을 넘어 공격 툴킷을 확장했습니다. 최근 이 그룹은 표적형 스파이 캠페인에 LOSTKEYS라는 새로운 악성코드 변종을 배포하는 모습이 포착되었습니다. 이는 SPICA 에 이어 COLDRIVER와 연관된 두 번째 맞춤형 악성코드입니다. Callisto, Star Blizzard , UNC4057 등의 별칭으로도 추적되는 COLDRIVER는 신원 정보 도용, 이메일 유출, 연락처 목록 수집으로 악명 높습니다. 이제 COLDRIVER의 플레이북에는 시스템 파일과 데이터에 접근하기 위한 선택적 악성코드 배포가 포함됩니다.

LOSTKEYS 공개: 은밀하고 표적화된 위협

LOSTKEYS는 특정 디렉터리의 파일, 실행 중인 프로세스, 시스템 세부 정보 등 민감한 정보를 은밀하게 유출하도록 설계되었습니다. 2025년 1월, 3월, 4월에 걸쳐 작전에 투입되었습니다. 서방 정부 및 군부의 전·현직 고문, 언론인, 싱크탱크, NGO, 그리고 우크라이나 관련 인사들이 공격의 표적이 되었습니다. 특히, 이 악성코드는 고도로 표적화된 공격에 주로 사용되는 등 선별적으로 배포되는 것으로 보입니다.

소셜 엔지니어링 2.0: ClickFix 연결

감염 경로는 가짜 웹사이트에 호스팅된 가짜 CAPTCHA 프롬프트에서 시작됩니다. 피해자는 Windows 실행 대화 상자를 열고 클립보드에 복사한 PowerShell 명령을 붙여넣도록 속는데, 이를 ClickFix라고 합니다. 이 명령은 원격 서버에서 2단계 다운로더를 가져오고, 이 다운로더는 3단계 PowerShell 스크립트를 전달합니다. 이 스크립트는 가상 환경에서 탐지를 피하면서 호스트에서 LOSTKEYS를 실행합니다.

용도 변경된 악성코드인가, 아니면 초기 테스트인가?

보안 연구원들은 2023년 12월로 거슬러 올라가는 LOSTKEYS 샘플을 발견했는데, 이는 오픈소스 조사 플랫폼인 Maltego의 바이너리를 모방한 것입니다. 이 샘플이 초기 테스트 버전인지, 아니면 2025년 배포가 확정되기 전의 악성코드와 무관한 용도였는지는 아직 불분명합니다.

ClickFix의 더 광범위한 채택과 해로운 영향

ClickFix 기법은 다양한 악성코드 유포 위협 행위자들 사이에서 인기를 얻고 있습니다. 주목할 만한 두 가지 사례는 다음과 같습니다.

• 램피온 뱅킹 트로이 목마 : ZIP 파일 첨부 파일이 포함된 피싱 이메일을 통해 유포됩니다. 내부 HTML 파일은 ClickFix 지침이 포함된 가짜 CAPTCHA 페이지로 피해자를 리디렉션하여 정부, 금융, 교통 등 포르투갈어 사용 분야를 표적으로 삼는 다단계 감염을 유발합니다.

MacReaper: 합법적인 웹사이트 악용을 통한 광범위한 캠페인

추가 조사 결과, Atomic Stealer 캠페인은 MacReaper라고 불리는 대규모 워터링 홀 공격과 연관이 있는 것으로 밝혀졌습니다. 약 2,800개의 합법적인 웹사이트가 침해되어 가짜 CAPTCHA 프롬프트를 표시했습니다. 이러한 공격은 탐지를 피하고 감염을 극대화하기 위해 난독화된 자바스크립트, 전체 화면 iframe, 블록체인 기반 인프라를 사용했습니다.