다중 라이센스 할인 견적
위협 데이터베이스 멀웨어 PicassoLoader JavaScript 변형

PicassoLoader JavaScript 변형

멀웨어, 지능형 지속 위협(APT)년에 Mezo 년까지
번역 :

'고스트라이터(Ghostwriter)'라는 이름의 사이버 공격 그룹이 우크라이나 정부 기관을 겨냥한 새로운 사이버 공격의 배후로 지목되었습니다. 2016년부터 활동해 온 이 그룹은 동유럽 전역에서 사이버 스파이 활동과 영향력 행사 공작을 벌인 것으로 악명이 높으며, 특히 우크라이나와 인접 국가들을 중심으로 활동 범위를 넓혀왔습니다.

해당 공격자는 FrostyNeighbor, PUSHCHA, Storm-0257, TA445, UAC-0057, Umbral Bison, UNC1151, White Lynx 등 여러 가명으로 추적되고 있습니다. 이 그룹은 수년에 걸쳐 보안 통제를 우회하고 장기적인 운영 효율성을 유지하기 위해 인프라, 공격 방식, 회피 기법을 지속적으로 개선해 왔습니다.

끊임없이 진화하는 악성 소프트웨어 무기고

Ghostwriter는 지속적으로 악성코드 생태계와 유포 기법을 현대화해 왔습니다. 초기 캠페인에서는 PicassoLoader 악성코드 계열을 주로 사용했는데, 이는 Cobalt Strike Beacon 및 njRAT과 같은 추가 페이로드를 전달하는 수단으로 활용되었습니다.

2023년 말, 해당 그룹은 WinRAR 취약점(CVE-2023-38831)을 악용하여 PicassoLoader와 Cobalt Strike를 배포하는 등 공격 범위를 확장했습니다. 다음 해에는 폴란드 기관들이 Roundcube의 크로스 사이트 스크립팅(XSS) 취약점(CVE-2024-42009)을 이용한 피싱 공격의 표적이 되었습니다. 이 악성 행위를 통해 공격자는 피해자로부터 이메일 계정 정보를 탈취할 수 있는 JavaScript 코드를 실행할 수 있었습니다.

해킹당한 계정은 이후 2025년 6월에 사서함 내용을 검사하고 연락처 목록을 탈취하며 추가 피싱 메시지를 배포하는 데 사용되었습니다. 2025년 말까지 해당 그룹은 고급 분석 방지 기술을 운영에 통합했습니다. 특정 유인 문서에는 동적 CAPTCHA 인증이 사용되어 악성 감염 체인을 선택적으로 활성화하고 자동 분석 환경을 무력화했습니다.

정교한 스피어피싱 공격이 우크라이나를 겨냥하고 있습니다.

2026년 3월 이후, 연구원들은 악성 PDF 첨부 파일을 포함한 스피어 피싱 이메일을 통해 우크라이나 정부 기관을 겨냥한 새로운 공격 캠페인을 관찰했습니다. 이 가짜 문서는 우크라이나 통신 사업자 우크르텔레콤(Ukrtelecom)을 사칭하여 합법적인 것처럼 보이게 하고 피해자의 접근을 유도합니다.

이 공격은 PDF 파일 내에 삽입된 링크를 이용해 피해자를 자바스크립트 기반 페이로드가 포함된 악성 RAR 압축 파일로 리디렉션하는 방식으로 이루어집니다. 실행되면 악성 프로그램은 합법적인 문서처럼 보이도록 위장 문서를 표시하는 동시에 백그라운드에서 자바스크립트 변종 PicassoLoader를 조용히 실행합니다. 이후 이 로더는 감염된 시스템에 Cobalt Strike Beacon을 배포합니다.

지리적 제한 및 피해자 검증을 통해 은밀성을 강화합니다.

이번 최신 공격 캠페인의 가장 주목할 만한 특징 중 하나는 지리적 제한(geofencing) 및 계층형 피해자 검증 메커니즘의 구현입니다. 우크라이나 이외 지역의 IP 주소에서 접속하는 시스템은 악성 페이로드 대신 무해한 PDF 콘텐츠를 수신하게 되어 연구원과 자동 스캔 시스템에 노출될 가능성이 크게 줄어듭니다.

이 멀웨어는 추가 페이로드를 전달하기 전에 감염된 호스트에 대한 광범위한 핑거프린팅 작업을 수행합니다. 수집된 시스템 정보는 10분마다 공격자가 제어하는 인프라로 전송되어 운영자가 피해자에 대한 추가 공격 여부를 수동으로 판단할 수 있도록 합니다. 이러한 검증 과정이 완료된 후에야 인프라는 Cobalt Strike Beacon을 설치하는 3단계 JavaScript 드로퍼를 전달합니다.

이 작전은 사용자 에이전트 및 IP 기반 검증을 포함한 자동 필터링 방법과 수동 운영자 검토를 결합하여 매우 체계적이고 성숙한 공격 방식을 보여줍니다.

지역 타겟팅 전략이 동유럽 전역으로 확대됩니다

현재 활동은 주로 우크라이나의 군사, 국방 및 정부 기관에 집중되어 있는 것으로 보입니다. 그러나 폴란드와 리투아니아에서 고스트라이터 소행으로 추정되는 작전들은 여러 핵심 분야에 걸쳐 광범위한 공격 전략을 펼치고 있음을 보여줍니다.

  • 산업 및 제조 조직
  • 의료 및 제약 기관
  • 물류 제공업체
  • 정부 기관

고스트라이터의 도구, 전달 메커니즘 및 운영 보안 관행의 지속적인 발전은 이 그룹의 끈기와 적응력을 보여줍니다. 맞춤형 미끼 문서, 선택적 페이로드 전달, 분석 방지 기술 및 수동 피해자 검증을 결합하는 능력은 탐지를 회피하면서 작전 효과를 극대화하도록 설계된 정교한 사이버 스파이 역량을 보여줍니다.

트렌드

Isafe-net.com

불량 웹사이트
침입적이고 신뢰할 수 없는 애플리케이션으로부터 기기를 보호하는 것은 개인 정보 보호, 보안 및 안정적인 브라우저 성능을 유지하는 데 필수적입니다. 잠재적으로 원치 않는 프로그램(PUP), 특히 브라우저 하이재커는 종종 브라우징 활동을 방해하고, 사용자를 유해한 콘텐츠에 노출시키며, 명확한 동의 없이 민감한 정보를 수집합니다. 이러한 의심스러운 플랫폼의...

이메일 전달률 경고 이메일 사기

피싱, 스팸
예상치 못한 이메일은 항상 주의해야 하며, 특히 긴급성을 강조하거나 개인 정보를 요구하는 경우에는 더욱 그렇습니다. 사이버 범죄자들은 수신자를 속여 개인 정보를 빼내기 위해 신뢰할 수 있는 서비스 제공업체에서 보낸 것처럼 위장한 피싱 메시지를 자주 사용합니다. 소위 '이메일 전송 알림' 이메일이 이러한 수법의 대표적인 예입니다. 이러한 메시지는 어떠한 합법적인 회사, 기관 또는 이메일 서비스 제공업체와도 관련이 없습니다. 사이버 보안 연구원들은 '이메일 전송 오류 알림' 메시지가 이메일 서비스 제공업체의 알림처럼 보이도록 위장한 피싱 이메일임을 확인했습니다. 이 사기는 수신자에게 '#x0035A0Y0'이라는 가상의 네트워크 문제로 인해 여러 발신 메일이...

Dologymant.co.in

불량 웹사이트, 애드웨어, 브라우저 하이재커
주의 없이 인터넷을 탐색하면 다양한 사이버 위협에 노출될 수 있습니다. 악성 웹사이트는 방문자를 속여 권한을 부여하거나 악성 콘텐츠와 상호 작용하도록 유도하는 기만적인 기법을 자주 사용합니다. 가장 흔한 수법으로는 신뢰할 수 있는 보안 업체나 합법적인 인증 시스템에서 온 것처럼 보이는 가짜 CAPTCHA 인증과 조작된 악성코드 경고가 있습니다. 이러한...

가장 많이 본

'프린터 드라이버를 사용할 수 없음'오류를 수정하는 방법

문제
31,258
프린터는 사용자가 가장 필요로 할 때마다 작업을 거부하는 것으로 유명합니다. 다행히 프린터에 프린터 드라이버를 사용할 수 없음' 오류가 표시되는 경우 문제를 해결할 수 있는 몇 가지 쉬운 솔루션이 있습니다. 이 특정 오류는 손상된 드라이버 파일, 오래된 드라이버 또는 드라이버 비호환성으로 인해 발생할 수 있습니다. Microsoft의 일반 드라이버를...
화면을 공유 할 때 Discord에 검은 색 화면이 표시됨 스크린샷

화면을 공유 할 때 Discord에 검은 색 화면이 표시됨

문제
27,277
처음 출시되었을 때 Discord는 게임 커뮤니티를 위한 VoIP 플랫폼이었습니다. 그러나 그 후 몇 년 동안 범위를 확장하고 수많은 새로운 기능을 추가했으며 월간 활성 사용자가 1억 4천만 명이 넘는 가장 큰 소셜 플랫폼 중 하나가 되었습니다. 현재 사용자는 개인 인스턴트 메시지를 보내고, VoIP 및 화상 통화를 시작하고, 컴퓨터 화면을...

에포르너닷컴

문제
21,107
인터넷은 유용한 콘텐츠, 엔터테인먼트, 정보로 가득한 광활한 공간이지만, 어두운 구석도 있습니다. TV 프로그램을 스트리밍하든, 앱을 다운로드하든, 성인 콘텐츠 플랫폼을 방문하든 항상 경계해야 합니다. 많은 사이트, 특히 공격적인 광고로 성행하는 사이트는 심각한 보안 위험을 초래할 수 있습니다. 이러한 우려를 불러일으킨 사이트 중 하나가 바로...
로드 중...