다중 라이센스 할인 견적
위협 데이터베이스 멀웨어 RTX RAT

RTX RAT

멀웨어, 원격 관리 도구년에 Mezo 년까지
번역 :

CPUID와 관련된 보안 사고로 인해 공식 웹사이트인 cpuid.com을 통해 사용자들이 악성 소프트웨어에 노출되었습니다. 24시간도 채 안 되는 기간 동안, 공격자들은 다운로드 링크를 조작하여 널리 사용되는 하드웨어 모니터링 도구의 감염 버전을 배포하는 데 성공했습니다.

이번 침해는 4월 9일 15:00 UTC부터 4월 10일 10:00 UTC 사이에 발생했으며, 이 기간 동안 정상적인 설치 링크가 악성 리디렉션 링크로 간헐적으로 대체되었습니다. 중요한 점은 CPUID가 원래 서명된 바이너리 파일은 손상되지 않았다고 확인했다는 것입니다. 이번 침해는 핵심 소프트웨어 자체를 변경한 것이 아니라, 웹사이트가 악성 링크를 무작위로 표시하도록 하는 부가적인 기능, 즉 사이드 API에서 비롯되었습니다.

악성 인프라: 공격 배후의 불량 도메인

사이버 보안 연구원들의 조사 결과, 트로이목마 악성코드를 호스팅하고 배포하는 데 사용된 여러 도메인이 확인되었습니다. 이러한 악성 웹사이트들은 의심하지 않는 사용자들을 감염된 다운로드 페이지로 리디렉션하는 데 핵심적인 역할을 했습니다.

  • cahayailmukreatif.web[.]id
  • pub-45c2577dbd174292a02137c18e7b1b5a.r2[.]dev
  • 트랜지셔널오팔레르모[.]com
  • 바트로브란[.]시간

이러한 도메인들은 악성코드 배포 및 명령 제어 작전을 지원하도록 설계된 더 광범위한 인프라의 일부를 구성했습니다.

은밀한 전달 메커니즘: DLL 측면 로딩 악용

공격자들은 DLL 사이드 로딩이라는 잘 알려진 회피 기법을 사용했습니다. 악성 패키지는 ZIP 압축 파일과 독립 실행형 설치 프로그램 형태로 배포되었으며, 각각에는 두 가지 구성 요소가 포함되어 있었습니다. 하나는 정상적으로 서명된 실행 파일이고, 다른 하나는 'CRYPTBASE.dll'이라는 이름의 악성 동적 링크 라이브러리였습니다.

서명된 바이너리에 대한 신뢰를 악용하여 악성 DLL이 실행 중에 로드되어 은밀한 침해를 가능하게 했습니다. 악성코드는 추가 작업을 시작하기 전에 분석 환경에서 탐지를 피하기 위해 샌드박스 검사를 수행했습니다. 이 검사를 통과하면 외부 서버에 접속하여 추가 페이로드를 가져왔습니다.

STX RAT 배포: 다재다능한 사후 공격 도구

이 캠페인의 궁극적인 목표는 숨겨진 가상 네트워크 컴퓨팅(HVNC) 기능과 광범위한 데이터 탈취 기능을 갖춘 강력한 원격 접속 트로이목마인 STX RAT를 배포하는 것이었습니다.

이 악성 소프트웨어는 공격자가 감염된 시스템에 대한 지속적인 제어권을 유지하고 다음과 같은 다양한 사후 공격 활동을 실행할 수 있도록 합니다.

  • EXE, DLL, PowerShell 스크립트 및 셸코드의 메모리 내 실행
  • 리버스 프록싱 및 네트워크 터널링
  • 원격 데스크톱 상호 작용 및 감시

이러한 기능 때문에 STX RAT는 개인 환경과 기업 환경 모두에서 특히 위험합니다.

캠페인 중복: 이전 FileZilla 공격과의 연관성

분석 결과, 이번 사건에 사용된 명령 및 제어(C2) 인프라가 이전에 FileZilla 트로이목마 설치 프로그램을 이용한 별도의 공격 캠페인과 연관되어 있었던 것으로 밝혀졌습니다. 동일한 서버 구성과 통신 도메인의 재사용은 두 캠페인 간의 작전상 중복이 심각함을 시사합니다.

이러한 전술, 기법 및 기반 시설의 반복은 탐지 및 원인 규명에 귀중한 지표를 제공했습니다.

장기 운영: 10개월 캠페인 일정

추가 조사 결과, CPUID 침해는 2025년 7월에 시작된 더 광범위한 공격 캠페인의 일부인 것으로 나타났습니다. 가장 초기에 발견된 악성코드 샘플인 'superbad.exe'는 95.216.51.236 IP 주소의 명령 및 제어 서버와 통신하는 것이 확인되었습니다.

보안 전문가들은 해당 위협 행위자가 러시아어를 사용하는 인물일 가능성이 높으며, 금전적 동기가 있거나 시스템 침투 후 다른 사이버 범죄자들에게 접근 권한을 판매하는 '초기 접근 브로커' 역할을 할 가능성이 있다고 평가합니다.

영향 평가: 다양한 피해자를 포함한 전 세계적 영향

이번 공격으로 150명 이상의 피해자가 발생했으며, 대부분 개인 사용자입니다. 하지만 소매, 제조, 컨설팅, 통신, 농업 등 다양한 산업 분야의 조직들도 피해를 입었습니다.

지리적으로 볼 때, 감염 사례의 대부분은 브라질, 러시아, 중국에서 확인되었으며, 이는 광범위하고 기회주의적인 표적 공격 전략을 시사합니다.

운영상의 약점: 적발로 이어진 오류

캠페인의 규모에도 불구하고, 여러 운영 보안 실패로 인해 공격자들의 효과가 크게 저해되었습니다. 이전 캠페인에서 사용했던 동일한 감염 경로, STX RAT 페이로드, 명령 및 제어 도메인을 재사용함으로써 활동을 추적하고 상관관계를 파악하기가 더 쉬워졌습니다.

이러한 단점들은 악성코드 개발 및 배포 방식의 정교함이 상대적으로 부족함을 시사합니다. 결과적으로, 방어자들은 워터링 홀 공격이 시작된 직후 신속하게 탐지할 수 있었고, 이는 전체적인 피해와 공격 노출 기간을 제한하는 데 도움이 되었습니다.


트렌드

인증 단계 알림

멀웨어, 불량 웹사이트
인증 단계 알림은 가짜 CAPTCHA 또는 사람 인증 메시지를 악용하여 사용자를 속여 유해한 행위를 유도하는 심각한 위험을 내포하고 있습니다. 합법적인 인증 시스템으로 위장한 이러한 페이지는 종종 신뢰할 수 있는 CAPTCHA 서비스를 모방합니다. 사람의 활동을 검증하는 대신, 명령어 복사, 브라우저 알림 활성화 또는 기만적인 버튼 클릭과 같은...

SatoshiVM 배포 프로그램 사기

불량 웹사이트
온라인 안전은 그 어느 때보다 중요해졌습니다. 사이버 위협이 진화함에 따라, 숙련된 사용자조차도 점점 더 정교해지는 사기 수법의 희생양이 될 수 있습니다. 특히 암호화폐 플랫폼을 이용할 때는 각별한 주의가 필수적입니다. 단 한 번의 잘못된 클릭이나 연결로 돌이킬 수 없는 금전적 손실을 입을 수 있습니다. 혁신의 환상: 가짜 암호화폐 프로젝트 언뜻...

보안 인증 요구 이메일 사기

피싱, 스팸
예상치 못한 이메일을 접할 때는 항상 주의를 기울이는 것이 온라인 보안 유지에 필수적입니다. 사이버 범죄자들은 신뢰와 긴급성을 악용하기 위해 악성 메시지를 합법적인 이메일로 위장하는 경우가 많습니다. '보안 확인 필요'라는 이메일 사기가 대표적인 예입니다. 이러한 이메일은 겉보기에는 그럴듯해 보이지만, 어떠한 합법적인 회사, 기관 또는 서비스 제공업체와도 관련이 없습니다. '보안 인증 필요' 사기 수법을 자세히 살펴보겠습니다. 상세 분석 결과, 이러한 이메일은 이메일 서비스 제공업체의 공식 보안 알림을 모방하여 제작된 것으로 나타났습니다. 이메일 내용은 일반적으로 수신자의 계정 접근 권한 유지를 위해 즉각적인 인증이 필요하다고 주장합니다. 해당 메시지는 조치를 취하지 않으면...

가장 많이 본

'프린터 드라이버를 사용할 수 없음'오류를 수정하는 방법

문제
34,180
프린터는 사용자가 가장 필요로 할 때마다 작업을 거부하는 것으로 유명합니다. 다행히 프린터에 프린터 드라이버를 사용할 수 없음' 오류가 표시되는 경우 문제를 해결할 수 있는 몇 가지 쉬운 솔루션이 있습니다. 이 특정 오류는 손상된 드라이버 파일, 오래된 드라이버 또는 드라이버 비호환성으로 인해 발생할 수 있습니다. Microsoft의 일반 드라이버를...
화면을 공유 할 때 Discord에 검은 색 화면이 표시됨 스크린샷

화면을 공유 할 때 Discord에 검은 색 화면이 표시됨

문제
29,080
처음 출시되었을 때 Discord는 게임 커뮤니티를 위한 VoIP 플랫폼이었습니다. 그러나 그 후 몇 년 동안 범위를 확장하고 수많은 새로운 기능을 추가했으며 월간 활성 사용자가 1억 4천만 명이 넘는 가장 큰 소셜 플랫폼 중 하나가 되었습니다. 현재 사용자는 개인 인스턴트 메시지를 보내고, VoIP 및 화상 통화를 시작하고, 컴퓨터 화면을...

에포르너닷컴

문제
25,053
인터넷은 유용한 콘텐츠, 엔터테인먼트, 정보로 가득한 광활한 공간이지만, 어두운 구석도 있습니다. TV 프로그램을 스트리밍하든, 앱을 다운로드하든, 성인 콘텐츠 플랫폼을 방문하든 항상 경계해야 합니다. 많은 사이트, 특히 공격적인 광고로 성행하는 사이트는 심각한 보안 위험을 초래할 수 있습니다. 이러한 우려를 불러일으킨 사이트 중 하나가 바로...
로드 중...