VENOMOUS#HELPER 피싱 캠페인

VENOMOUS#HELPER로 식별되는 정교한 피싱 공격이 적어도 2025년 4월부터 활동해 왔으며, 합법적인 원격 모니터링 및 관리(RMM) 도구를 악용하여 다양한 공격 경로를 노리고 있습니다. 주로 미국에 있는 80개 이상의 조직이 피해를 입었습니다. 이 공격은 이전에 보고된 STAC6405 클러스터와 중복됩니다. 공격 주체는 아직 불확실하지만, 이러한 공격 패턴은 금전적 이득을 목적으로 하는 초기 접근 브로커(IAB) 또는 랜섬웨어 전 단계 그룹이 향후 공격을 위한 발판을 마련하려는 시도와 매우 유사합니다.

신뢰할 수 있는 도구를 악용하는 행태: 합법적인 RMM 소프트웨어의 오용

공격자들은 노골적으로 악성 소프트웨어를 배포하는 대신, SimpleHelp이나 ConnectWise ScreenConnect와 같은 합법적인 도구의 맞춤형 버전을 이용합니다. 이러한 애플리케이션은 기업 환경에서 흔히 사용되기 때문에 기존 보안 제어를 우회하고 의심을 사지 않고 침투할 수 있습니다.

두 도구를 동시에 배포하는 것은 의도적인 전술입니다. 공격자는 이중 원격 접속 채널을 구축함으로써 운영상의 복원력을 확보합니다. 하나의 연결이 감지되어 차단되더라도 두 번째 채널은 계속 활성화되어 중단 없이 무단 접속을 지속할 수 있습니다.

피싱 진입점: 신뢰할 수 있는 위장을 이용한 사회공학적 수법

이 공격은 미국 사회보장국(SSA)을 사칭한 정교하게 제작된 피싱 이메일에서 시작됩니다. 해당 이메일은 수신자에게 이메일 주소를 인증하고 포함된 링크를 통해 SSA에서 발행한 것으로 위장한 명세서를 다운로드하도록 유도합니다.

특히, 해당 링크는 피해자를 합법적이지만 해킹당한 멕시코 기업 웹사이트로 연결하는데, 이는 스팸 필터와 평판 기반 방어 체계를 의도적으로 회피하려는 시도임을 보여줍니다. 피해자는 거기서 공격자가 제어하는 두 번째 도메인으로 리디렉션되는데, 이 도메인에는 합법적인 문서로 위장한 악성 페이로드가 있습니다.

페이로드 전달 및 지속성: 장기 접근을 위한 엔지니어링

다운로드된 악성 파일은 윈도우 실행 파일로 패키징되어 있으며, SimpleHelp RMM 도구의 설치를 시작합니다. 공격자들은 악성 파일을 배포하기 위해 호스팅 서버의 cPanel 계정을 해킹한 것으로 추정됩니다.

악성 프로그램은 실행 후 여러 메커니즘을 통해 지속성과 복원력을 확보합니다.

• 안전 모드에서 지속적인 실행 기능을 갖춘 Windows 서비스로 설치
• 서비스가 종료될 경우 자동으로 재시작하는 자가 복구 감시 프로그램 배포
• 루트\SecurityCenter2 WMI 네임스페이스를 통해 설치된 보안 제품을 67초마다 정기적으로 열거합니다.

이러한 기술들은 악성 프로그램이 지속적으로 활동적이고, 적응력이 뛰어나며, 제거하기 어렵게 만드는 데 기여합니다.

권한 상승 및 전체 시스템 제어

SimpleHelp 클라이언트는 손상된 시스템에 대한 완전한 대화형 제어 권한을 얻기 위해 AdjustTokenPrivileges를 통해 SeDebugPrivilege 권한을 획득하여 권한을 상승시킵니다. 또한, 소프트웨어의 정상적인 구성 요소인 'elev_win.exe'를 이용하여 SYSTEM 수준 액세스 권한을 얻습니다.

이처럼 높아진 권한 수준을 통해 공격자는 다음과 같은 작업을 수행할 수 있습니다.

• 화면 활동을 모니터링하고 캡처합니다.
• 실시간으로 키 입력을 주입합니다.
• 사용자 컨텍스트 내에서 민감한 리소스에 액세스합니다.

이러한 기능은 기존의 보안 경고를 발생시키지 않고도 피해자의 환경을 완벽하게 제어할 수 있도록 해줍니다.

이중화 액세스 전략: ScreenConnect를 대체 채널로 활용

기본 접속 채널이 구축되면 공격자는 ConnectWise ScreenConnect를 보조 원격 접속 메커니즘으로 배포합니다. 이를 통해 최초 SimpleHelp 연결이 식별되어 차단되더라도 지속적인 접속이 가능합니다.

여러 합법적인 도구를 사용하는 것은 내구성과 은밀성을 위해 설계된 다층적인 접근 전략을 보여주며, 이는 탐지 및 사고 대응 노력을 복잡하게 만듭니다.

작전적 영향: 은밀한 통제

배포된 SimpleHelp 버전(5.0.1)은 강력한 원격 관리 기능을 제공합니다. 공격자는 시스템에 침투하여 자유롭고 은밀하게 운영할 수 있게 됩니다. 공격자는 언제든지 시스템에 재진입할 수 있으므로, 침해당한 조직은 지속적인 공격에 노출됩니다.

이러한 환경은 사실상 통제된 자산이 되어, 공격자는 은밀하게 명령을 실행하고, 양방향으로 파일을 전송하며, 네트워크를 통해 이동할 수 있습니다. 모든 활동이 평판이 좋은 영국 업체에서 제작한 정식 서명된 소프트웨어에서 시작된 것처럼 보이기 때문에 기존의 안티바이러스 및 시그니처 기반 방어 체계는 침입을 탐지하지 못하는 경우가 많습니다.

결론: 현대 침입을 위한 청사진

VENOMOUS#HELPER는 합법적인 관리 도구를 악용하는 추세가 증가하고 있음을 보여주는 대표적인 사례입니다. 소셜 엔지니어링, 신뢰할 수 있는 소프트웨어의 악용, 그리고 중복 접근 메커니즘을 결합하여 지속성, 은밀성, 그리고 운영상의 유연성을 확보했습니다. 이러한 접근 방식은 기업 환경에서 행동 모니터링, 제로 트러스트 원칙, 그리고 합법적인 도구 사용에 대한 강화된 감시의 필요성을 절실히 보여줍니다.