악성 IT 유틸리티 광고: 해커들이 가짜 설치 프로그램을 통해 유럽 기업에 침투하는 방법
2026년 초, 유럽 조직들은 합법적인 IT 도구로 위장한 SmokedHam 백도어를 유포하기 위해 검색 엔진에서 악성 광고를 사용하는 새로운 사이버 공격 물결에 직면했습니다. 일부 사례에서는 공격이 Qilin 랜섬웨어 배포로 이어집니다. Orange Cyberdefense 전문가들은 이 캠페인을 이전에 DarkSide, LockBit, Hunters International을 사용한 공격으로 알려진 UNC2465 그룹과 연결합니다.
공격 메커니즘: 광고에서 완전한 제어까지
공격은 인기 있는 시스템 관리자 유틸리티의 가짜 다운로드 페이지를 홍보하는 검색 엔진 광고를 구매하는 것으로 시작됩니다. 예를 들어 RVTools나 Remote Desktop Manager를 검색하는 사용자가 광고를 클릭하고 악성 설치 프로그램을 다운로드할 수 있습니다. 실행되면 SmokedHam 백도어가 장치에 로드되어 공격자에게 원격 액세스 권한을 부여합니다.
Orange Cyberdefense가 조사한 한 사건에서 감염은 Qilin 암호화기의 배포로 이어졌습니다. 운영자들은 정교한 은폐 방법을 사용했습니다. 두 가지 다른 직원 모니터링 솔루션을 사용하고, 악성 활동을 합법적인 관리 도구(PuTTY, Kitty, Zoho Assist, Total Commander)와 혼합했으며, Cloudflare Workers와 표준 AWS 엔드포인트를 사용하여 트래픽을 마스킹했습니다.
SmokedHam: 백도어의 진화
Orange Cyberdefense 분석가들은 2025-2026년에 수집된 30개 이상의 SmokedHam 샘플을 조사했습니다. 운영자들이 도구를 지속적으로 수정한다는 것을 발견했습니다. 전달 방법, 지속성 기술, 악용된 취약점이 시간이 지남에 따라 변경됩니다. 이는 높은 그룹 활동과 무기고의 지속적인 개선을 나타냅니다. 백도어는 추가 모듈을 로드할 수 있어 공격 수행에 유연성을 제공합니다.
공격 배후: UNC2465 그룹
중간 정도의 확신으로 Orange Cyberdefense는 이 캠페인을 UNC2465와 연결합니다. 이 그룹 또는 관련 제휴사는 이전에 DarkSide, LockBit, Hunters International과 같은 잘 알려진 랜섬웨어를 사용한 공격에 관여했습니다. 결론은 중복되는 전술, 기술 및 인프라를 기반으로 합니다. 공격자들은 유럽 조직을 적극적으로 표적으로 삼고 있으며, 이는 2026년 2월부터 4월까지의 사건 지리적 분포에서 입증됩니다.
주요 사항
- 검색 엔진의 악성 광고는 유럽 기업에 대한 효과적인 초기 침입 벡터입니다.
- SmokedHam 백도어는 합법적인 IT 유틸리티(RVTools, Remote Desktop Manager, PuTTY)로 위장하여 유포됩니다.
- 일부 공격에서는 SmokedHam 다음에 Qilin 암호화기가 배포됩니다.
- 운영자들은 여러 계층의 은폐를 사용합니다: 합법적인 관리 도구, Cloudflare Workers, AWS.
- 과거 랜섬웨어 공격과 관련된 UNC2465 그룹이 이 캠페인의 배후일 가능성이 높습니다.
맥락 및 시사점
멀웨어 유포를 위해 멀버타이징을 사용하는 것은 새로운 전술은 아니지만, 특정 전문 그룹을 표적으로 삼을 수 있는 능력으로 인해 그 효과가 증가하고 있습니다. 작업 도구를 검색하는 시스템 관리자와 IT 전문가가 우선 표적이 됩니다. 공격이 유럽 조직을 표적으로 하므로, 기업은 다운로드 통제를 강화하고, 다중 인증을 구현하며, 직원들이 의심스러운 광고를 인식하도록 교육해야 합니다.
보호를 위해 공식 다운로드 소스를 사용하고, 설치 프로그램 디지털 서명을 확인하며, 관리 권한을 제한하는 것이 좋습니다. 또한 Cloudflare Workers나 AWS를 통한 의심스러운 연결에 대해 네트워크 트래픽을 모니터링하는 것이 중요합니다.
— Editorial Team
아직 댓글이 없습니다.