가짜 브라우저 업데이트를 통한 NetSupport RAT 및 StealC 악성코드 유포

Hackers Drop NetSupport RAT & StealC Malware on Your Windows Via Fake Browser Updates

Hackers Drop NetSupport RAT & StealC Malware on Your Windows Via Fake Browser Updates

 

• 개요
  • SmartApeSG(ZPHP 또는 HANEYMANEY) 해킹 그룹, 가짜 브라우저 업데이트를 악용해 NetSupport RAT 및 StealC 악성코드 유포
  • 악성 스크립트를 침해된 웹사이트에 삽입하여 피해자를 가짜 업데이트 페이지로 리디렉션
  • 사용자로 하여금 악성 JavaScript 및 ZIP 파일 다운로드를 유도
• 공격 방법 및 감염 과정
  • 1단계: 가짜 브라우저 업데이트 유도
    • cinaweine[.]shop 도메인에 호스팅된 스크립트를 통해 가짜 업데이트 인터페이스 생성
    • 피해자는 "Update 7673.js"**라는 악성 JavaScript 파일 다운로드
  • 2단계: NetSupport RAT 설치 및 C2 연결
    • Update 7673.js 실행 시 poormet[.]com에서 ZIP 파일 다운로드 및 압축 해제
    • 설치된 NetSupport RAT가 geo.netsupportsoftware[.]com 및 194.180.191[.]229와 HTTPS 기반 C2 통신 수행
  • 3단계: StealC 악성코드 추가 전파
    • NetSupport RAT가 StealC 압축 파일(misk.zip)을 추가 다운로드 및 실행
    • DLL 사이드로딩 기법 사용:
      • 정상 Windows 파일인 mfpmp.exe를 통해 rtworkq.dll(악성 DLL) 로드
      • 신뢰할 수 있는 시스템 파일을 악용해 탐지 회피
• StealC 기능 및 공격 기술
  • 정보 탈취 및 지속성 확보
    • 시스템 정보, 로그인 자격 증명 및 클립보드 내용 수집
    • 암호화폐 지갑 데이터 포함 다양한 개인 정보 탈취
  • C2 서버와의 통신 및 추가 페이로드 다운로드
    • C2 서버: 62.164.130[.]69와 지속적 연결을 통해 데이터 전송 및 추가 악성 코드 수신
  • 합법적 DLL 사용
    • 감염 과정 중 sqlite3.dll, nss3.dll 등 정상 DLL 다운로드 및 사용
    • 이러한 파일 자체는 무해하지만 악성 페이로드 실행에 활용
• 보안 권고
  • 업데이트 다운로드 시 공식 웹사이트 이용
    • 브라우저 팝업이나 알림을 통한 업데이트 설치 금지
  • 네트워크 모니터링 및 차단
    • 악성 도메인(cinaweine[.]shop, poormet[.]com) 및 C2 서버 IP 차단
    • HTTPS 기반 비정상 트래픽 탐지 강화
  • 엔드포인트 보안 솔루션 적용
    • DLL 사이드로딩 및 프로세스 인젝션 탐지 기능 활성화
    • ZIP 파일 및 JavaScript 실행 모니터링 강화
  • 사용자 교육 및 인식 제고
    • 가짜 업데이트 경고 및 피싱 사례 공유
    • 이메일 및 웹사이트 링크 클릭 시 주의 필요성 강조
• 결론
  • SmartApeSG의 이번 공격은 합법적 소프트웨어 업데이트 신뢰를 악용하여 감염 확산
  • NetSupport RAT와 StealC의 이중 위협으로 피해자의 시스템 제어 및 데이터 유출 초래
  • 정기적인 시스템 업데이트, 강력한 탐지 체계 구축 및 사용자 경각심 제고가 피해 예방의 핵심