중국 연계 실버폭스, 가짜 텔레그램 중국어 언어 팩에 악성코드 숨겨 작성일 04-10 38 목록 <div id="layerTranslateNotice" style="display:none;"></div> <div class="article_view" data-translation-body="true" data-tiara-layer="article_body" data-tiara-action-name="본문이미지확대_클릭"> <section dmcf-sid="KpzwDDb0mX"> <p contents-hash="d25dc3c03056680a90875673e9c447d17a6c1c7e91235b39013310df5f42994e" dmcf-pid="9sh688vmIH" dmcf-ptype="general"><strong>강력한 원격 접속 트로이목마 ‘벨리랫’ 유포... 보안 감시망 무력화하며 시스템 장악</strong></p> <p contents-hash="07ad7af7faac4d10283ba4c6ff623b1be2cfbdd9b4232400eee0b2120e6d6d8c" dmcf-pid="2OlP66TssG" dmcf-ptype="general">[보안뉴스 원병철 기자] 중국 배후의 해킹 그룹 실버폭스(Silver Fox)가 텔레그램 중국어 언어 팩 설치 프로그램으로 위장한 신종 악성코드 캠페인을 전개하고 있다. 일반적인 MSI(Microsoft Installer) 설치 프로그램으로 위장한 이 악성 파일은 보안 연구원 CNGaoLing이 MalwareBazaar에 보고하면서 알려졌다. </p> <figure class="figure_frm origin_fig" contents-hash="f89251cea253726cedb58dd5e0ac855e7708aaf7b1c98d1aad640f486ef2070b" dmcf-pid="VISQPPyODY" dmcf-ptype="figure"> <p class="link_figure"><img class="thumb_g_article" data-org-src="https://t1.daumcdn.net/news/202604/10/552815-KkymUii/20260410160351704vbpo.jpg" data-org-width="1000" dmcf-mid="bBap00AimZ" dmcf-mtype="image" height="auto" src="https://img2.daumcdn.net/thumb/R658x0.q70/?fname=https://t1.daumcdn.net/news/202604/10/552815-KkymUii/20260410160351704vbpo.jpg" width="658"></p> <figcaption class="txt_caption default_figure"> [출처: gettyimagesbank] </figcaption> </figure> <div contents-hash="419c172b2fc3fd28891c9a1f92e089b15203c4c3319a77d5bef30cd16d482967" dmcf-pid="fCvxQQWIsW" dmcf-ptype="general"> <br>실버폭스는 사용자가 안심하고 사용하는 소프트웨어를 사칭해 원격 제어 악성코드인 벨리랫(ValleyRAT)을 은밀히 유포하고 있다. 또한 이들은 프로그램 설치 목록에 흔적조차 남기지 않는 은폐 설계를 통해, 보안 감시망을 무력화하며 시스템 장악을 시도하는 위협을 가하고 있다. </div> <p contents-hash="c1ef9f8df925295e73110614bca3173928ca77e453dac3d90e7f82e0adabe917" dmcf-pid="4hTMxxYCsy" dmcf-ptype="general">이번 공격에서 해커들은 탐지를 피하기 위해 무려 6단계에 걸친 복잡한 감염 체인을 가동하며, 암호화된 압축 파일과 XOR 연산을 활용했다. 이 과정에서 활용된 악성코드는 기존 백신의 시그니처 탐지망을 우회하도록 정밀하게 설계됐으며, 백신이 위협을 인지하지 못하도록 속여 넘기는 치밀함을 보였다.</p> <p contents-hash="20683bcd7405c3d0224790e5022dbe62befde181a43a33efc0a15f7d3617670a" dmcf-pid="8lyRMMGhDT" dmcf-ptype="general">특히 치후 360, 텐센트 PC 매니저 등 중국 내 주요 보안 제품의 실행 여부를 확인한 뒤, 맞춤형 우회 전략을 펼쳤다. 만약 보안 제품이 탐지되면 바이트댄스(ByteDance)의 정상 서명 파일을 악용하는 DLL 사이드 로딩 기법을 동원해 감시망을 무력화했다. 해커들은 또한 공격 과정에서 wnBios라는 커널 루트킷을 로드해 운영체제 메모리에 직접 접근하고, 커널 수준의 보안 도구를 중단시켰다. </p> <p contents-hash="ddbd21b175b4ee4bbd810ca9fd6e537845843e3514cb1e21ea2b730c1b02f7e6" dmcf-pid="6SWeRRHlrv" dmcf-ptype="general">이들은 홍콩의 불법 호스팅 서버를 명령제어(C2) 서버로 활용하며, 감염된 PC에서 화면 캡처나 스태가노그래피 통신을 정밀하게 수행했다. 시스템 최고 권한을 탈취한 뒤에는 주기적인 실행 작업을 등록해, 공격자가 언제든 다시 접근할 수 있도록 공격 지속성을 고착화했다. </p> <p contents-hash="f8741839ebec4992424c8a2c75589531d0e57f3bdcbdc8bbeb2a3ff53c307b93" dmcf-pid="PvYdeeXSDS" dmcf-ptype="general">보안 전문가들은 이들이 과거에도 줌, 팀즈 등을 사칭했던 전력이 있는 만큼, 배포처가 불분명한 파일 설치를 경고했다.</p> <p contents-hash="0e0a120848949f69f3fe2321360db42d9073f84a5baa8ea00e0764d02c058e5f" dmcf-pid="QTGJddZvIl" dmcf-ptype="general">현재 해당 C2 서버 아이피(118.107.43.65)에 대한 차단과 함께, 비정상적인 압축 도구 실행 여부를 자세히 모니터링해야 하는 심각한 상황이다.</p> <p contents-hash="b26d0801675db1ca08abbdc52195cdf3e01d2af6e7a518b410b4a1440034274f" dmcf-pid="xyHiJJ5TIh" dmcf-ptype="general">실버폭스의 이번 캠페인은 일상적인 소프트웨어 업데이트를 공격 도구로 변모시켰으며, 커널 루트킷과 6단계 우회 전술을 결합해 기존 보안 체계를 무력화했다. 이는 기업과 개인 사용자 모두에게 보안 의식 강화와 엄중한 시스템 감시를 요구하는 중요한 신호로 받아들여야 한다고 전문가들은 조언했다. </p> </section> </div> <p class="" data-translation="true">Copyright © 보안뉴스. 무단전재 및 재배포 금지.</p> 관련자료 이전 직함만 남은 네이버 웹툰엔터 김준구…실권은 김용수 손으로 04-10 다음 [인터뷰] 시뮬레이션으로 리콜 사전 차단…자동차 부품사가 MBD 택한 이유 04-10 댓글 0 등록된 댓글이 없습니다. 로그인한 회원만 댓글 등록이 가능합니다.
