PXA 스틸러 공격 캠페인

사이버 보안 연구원들은 민감한 사용자 데이터를 수집하도록 특별히 설계된 파이썬 기반 악성코드인 PXA 스틸러(PXA Stealer)를 유포하는 새로운 캠페인 급증에 경종을 울리고 있습니다. 이 정교한 정보 유출 공격은 베트남어를 구사하는 사이버 범죄자들이 구독 기반 지하 생태계에서 이를 악용하는 것으로 알려져 있습니다. 이 캠페인의 가장 큰 특징은 텔레그램 API와 통합되어 있어 최소한의 인적 개입으로 탈취한 데이터를 신속하게 수익화, 재판매 및 재사용할 수 있다는 것입니다.

광범위한 감염과 놀라운 데이터 도난

PXA 스틸러의 활동 범위는 광범위합니다. 62개국에 걸쳐 4,000개 이상의 고유 IP 주소가 침해되었습니다. 피해 지역은 미국, 한국, 네덜란드, 헝가리, 오스트리아입니다.

도난당한 데이터의 규모는 상당합니다.

• 200,000개 이상의 고유한 비밀번호
• 수백 개의 신용카드 기록
• 400만 개 이상의 브라우저 쿠키

2024년 11월에 처음 발견된 PXA 스틸러(PXA Stealer) 캠페인은 유럽과 아시아의 정부 및 교육 기관을 표적으로 삼았습니다. 이후 다음과 같은 광범위한 데이터를 추출하는 것으로 발전했습니다.

• 브라우저의 비밀번호 및 자동 채우기 데이터
• 암호화폐 지갑 자격 증명
• VPN 클라이언트 구성
• 클라우드 CLI 도구 및 Discord의 정보
• 연결된 네트워크 공유 및 금융 플랫폼

전보: 작전의 신경 중심

유출된 데이터는 텔레그램 채널을 통해 라우팅되며, 텔레그램 채널에서 저장 및 모니터링됩니다. PXA Stealer는 봇 ID(TOKEN_BOT)를 사용하여 봇을 해당 채팅 ID(CHAT_ID)에 연결합니다. 이러한 채널은 유출된 정보의 저장소 역할을 하며, 위협 행위자의 알림을 위한 통신 허브 역할을 합니다.

이렇게 유출된 데이터는 셜록(Sherlock)과 같은 불법 플랫폼으로 유입됩니다. 셜록은 로그를 거래하는 마켓플레이스입니다. 다른 사이버 범죄자들은 이 데이터를 구매하여 암호화폐를 훔치거나 기업 네트워크에 침투하여 빠르게 성장하는 사이버 범죄 공급망에 유입될 수 있습니다.

고급 무역 기술과 회피 전술

2025년 최근 공격들은 주목할 만한 기술적 발전을 보여주었습니다. 공격자들은 이제 탐지를 피하고 포렌식 분석을 방해하기 위해 DLL 사이드 로딩 기술과 다층 스테이징 전략을 사용합니다. 공격 체인의 기만적인 변형은 가짜 저작권 침해 고지와 같은 미끼 문서를 표시하는 동시에 악의적인 공격은 백그라운드에서 조용히 진행됩니다.

PXA Stealer의 최신 버전에서 가장 중요한 업그레이드 중 하나는 Chromium 기반 브라우저에서 암호화된 쿠키를 추출하는 기능입니다. 이는 활성 프로세스에 DLL을 삽입하여 애플리케이션 수준의 암호화 보호를 효과적으로 우회하는 방식으로 수행됩니다.

작업의 핵심 기술

이 캠페인은 몇 가지 뚜렷한 전략을 보여줍니다.

분석 방지 방어 : 탐지를 지연시키고 역엔지니어링 활동을 방해하도록 설계되었습니다.

단계적 페이로드 전달 : 사이드 로딩 DLL을 사용한 복잡한 감염 체인.

미끼 콘텐츠 : 악성 활동을 가리는 데 사용되는 악성이 아닌 파일입니다.

텔레그램 기반 C2 인프라 : 명령, 제어 및 데이터 유출에 사용되는 강화된 통신 파이프라인입니다.

더 큰 그림: 성장하는 지하 시장

파이썬 스틸러로 시작된 것이 이제는 성숙하고 다단계적인 사이버 작전으로 성장했습니다. 악성코드 자체뿐만 아니라 텔레그램 기반 마켓플레이스, 자동화된 데이터 재판매 채널, 체계적인 수익화 파이프라인 등 악성코드를 둘러싼 생태계도 발전했습니다.

이러한 발전은 현대 사이버 범죄가 어떻게 더욱 민첩하고 확장 가능하며 암호화된 통신 도구와 긴밀하게 연계되었는지를 보여줍니다. PXA Stealer는 오늘날의 사이버 범죄 환경에서 위협 행위자들이 탐지를 늦추고 수익을 극대화하기 위해 도구와 기술을 어떻게 변화시키고 있는지를 보여주는 대표적인 사례입니다.