Noodlophile 악성코드 캠페인

Noodlophile 악성코드를 유포하는 사이버 범죄자들은 미국, 유럽, 발트 3국, 아시아 태평양 지역의 조직을 표적으로 삼아 지속적인 공격을 감행해 왔습니다. 스피어피싱 전술과 진화하는 유포 방식을 결합하여, 점점 더 정교해지는 강력한 정보 유출 도구를 구축하는 것을 목표로 합니다.

변형된 스피어 피싱

1년 넘게 활동해 온 이 캠페인은 저작권 침해 고지처럼 위장한 스피어피싱 이메일로 전환되었습니다. 이러한 이메일은 일반적인 형태가 아닙니다. 공격자는 페이스북 페이지 ID나 회사 소유주 정보와 같은 정찰 데이터를 활용하여 신뢰도를 높이기 위해 이메일을 맞춤화합니다.

2025년 5월에 발견된 누들파일(Noodlophile) 캠페인 의 초기 공격들은 페이스북과 같은 소셜 미디어 채널을 통해 홍보되는 가짜 AI 기반 도구에 의존했습니다. 이제 저작권 관련 미끼로의 전환은 이러한 공격의 진화에 있어 새로운 장을 열었습니다. 주목할 점은 이전에도 유사한 전략이 발견되었다는 것입니다. 2024년 11월, 대규모 피싱 캠페인에서 허위 저작권 침해 주장을 사용하여 라다만티스 스틸러(Rhadamanthys Stealer)를 유포한 사례가 있습니다.

공격 체인의 해부학

현재 공격은 Gmail에서 발신된 피싱 이메일로 시작되는데, 이는 의심을 피하고 저작권 침해 혐의에 대한 긴급성을 부추기도록 설계되었습니다. 이메일에는 Dropbox 링크가 포함되어 있으며, ZIP 또는 MSI 파일을 포함합니다. 이 설치 프로그램이 실행되면 Haihaisoft PDF Reader의 합법적인 바이너리를 통해 악성 DLL을 사이드로딩합니다. Noodlophile 스틸러가 실행되기 전에 배치 스크립트를 사용하여 Windows 레지스트리 항목을 수정하여 지속성을 확보합니다.

특히 회피성이 높은 기법 중 하나는 텔레그램 그룹 설명을 사용하는 것인데, 이는 피해자에게 paste.rs에 호스팅된 실제 페이로드 서버를 알려주는 '데드 드롭 리졸버' 역할을 합니다. 이 방법은 탐지 및 차단 작업을 복잡하게 만드는 동시에 동적 페이로드 전송을 가능하게 합니다.

진화하는 회피 전술

Base64로 인코딩된 아카이브와 certutil.exe와 같은 LOLBin을 활용한 이전 캠페인을 기반으로 현재 버전에는 다음이 추가되었습니다.

• 텔레그램 기반 명령 및 제어 채널
• 디스크 기반 탐지를 회피하기 위한 메모리 내 실행 기술

이러한 혁신은 더욱 정교한 회피 메커니즘으로의 꾸준한 추세를 보여주며, 기존 방어수단의 효과를 떨어뜨립니다.

Noodlophile의 능력

Noodlophile은 단순한 절도범이 아니라, 광범위한 민감 데이터를 유출하도록 설계된 끊임없이 진화하는 툴킷입니다. 현재 분석 결과, 다음과 같은 기능을 수행할 수 있습니다.

• 브라우저 데이터와 시스템 정보를 추출합니다.
• 특히 Facebook을 통해 기업과 관련된 소셜 미디어 세부 정보를 수집합니다.

지속적인 코드 분석 결과, 개발자들이 기능 확장을 위해 노력하고 있는 것으로 나타났습니다. 스크린샷 캡처, 키로깅, 파일 유출, 프로세스 모니터링, 네트워크 정찰, 파일 암호화, 그리고 상세한 브라우저 기록 추출 기능이 계획되어 있습니다.

확대되는 기업 위험

브라우저와 소셜 미디어 데이터에 중점을 둔 이 캠페인은 강력한 온라인 입지를 가진 기업을 공격하려는 의도적인 전략을 보여줍니다. 새로운 기능이 개발 중이므로, Noodlophile은 향후 스파이 활동, 신원 정보 유출, 심지어 랜섬웨어와 유사한 기능까지 결합하는 더욱 다재다능하고 위험한 위협으로 진화할 수 있습니다.