숨는 데 도가 터 가는 멀웨어 운영자들

뱅킹 멀웨어로 개발됐다가 고급 원격 접근 트로이목마(RAT)으로 변모한 멀웨어 모스테레랫(MostereRAT) 캠페인에 대한 상세 분석 보고서가 발표됐다. 보안 업체 포티넷(Fortinet)이 공개한 것으로, 멀웨어와 피싱 공격의 진화에 대한 최근 트렌드가 반영돼 있어 읽어볼 만하다. 

트렌드 1 : 영어 못해도 괜찮아
모스테레랫에서 가장 주목할 것은 EPL이라는 언어로 개발됐다는 사실이라고 포티넷은 지적한다. EPL은 ‘쉬운 프로그래밍 언어(Easy Programming Language)’의 준말이다. “EPL은 중국어, 영어, 일본어를 지원하는, 희귀한 시각 프로그래밍 언어입니다. 영어에 능숙하지 않은 사용자들이 주로 사용하는 것으로 알려져 있습니다. 주류 프로그래밍 언어들은 대부분 영어를 기반으로 하고 있어서 EPL에 대한 수요들이 생겨나는 것이죠.”

이 말은 모스테레랫의 개발자 및 운영자가 영어에 익숙하지 않다는 것, 즉 비영어권 해커일 가능성이 높다는 것을 시사한다. “모스테레랫을 퍼트리기 위한 피싱 메일들 대부분 일본어로 작성돼 있거나, 일본 기업들을 노리고 있습니다. 주로 사업 문의 메일로 위장돼 있으며, 악성 링크를 포함하고 있습니다. 클릭하면 악성 사이트로 접속돼, 미리 호스팅 되어 있던 악성 워드 문서나 집(zip) 아카이브가 다운로드 됩니다.”

트렌드 2 : 합법적 도구의 악용
어떤 파일을 다운로드 하든 결국 악성 실행파일 하나가 추출돼 피해자 시스템에서 실행된다. 이 실행파일이 모스테레랫을 발동시키는 역할을 한다고 포티넷은 설명한다. “발동된 모스테레랫은 EPL 모듈을 사용해 애니데스크(AnyDesk), 타이거VNC(TigerVNC), 타이트VNC(TightVNC)와 같은 도구들을 설치합니다. 동시에 윈도에 탑재된 각종 보안 기능을 비활성화하고, 일부 보안 프로그램 관련 트래픽을 차단합니다. 자기가 원하는 걸 설치하면서, 보호 장치들을 무력화시키는 것이죠.” 이러한 차단 기술은 인기 높은 모의 해킹 도구인 이디알사일런서(EDRSilencer)와 비슷하다고 포티넷은 설명한다. 

애니데스크, 타이거VNC, 타이트VNC, 그리고 이디알사일런서에는 공통점이 있다. 전부 합법적인 소프트웨어들이라는 점이다. 최근 공격자들 사이에서는 정상 소프트웨어와 유틸리티들을 사용해 공격을 실시하는 전략이 점점 확산되고 있다. 합법적 도구를 씀으로써 수상한 시그널이 발생하지 않게 하기 위해서다. 원래는 고급 기술이었는데, 해커들의 상향평준화 덕분에 널리 사용되기 시작했다.

트렌드 3 : 꼭꼭 숨어라
자신을 감추기 위한 기능은 더 있다. 윈도 내장 계정인 트러스티드인스톨러(TrustedInstaller)로 악성코드를 실행하는 것이다. “이 계정은 권한이 꽤 높은 편입니다. 그래서 중요한 윈도 프로세스의 간섭을 막고, 레지스트리도 수정하고, 시스템 파일 삭제도 가능합니다. 악성코드를 감추는 데 적격인 것이죠.”

위에서 모스테레랫이 주로 일본어 메일로 일본 기업들을 노린다고 했는데, 그렇다고 위협이 일본에 한정된 건 아니다. 중국 사용자들을 노리는 기능도 발견됐다. “모스테레랫의 모듈 중 하나는 중국 알리바바 판매자들이 사용하는 도구인 치아뉴(Qianniu) 창을 감시하는 기능을 가지고 있습니다. 창에서 어떤 활동이 벌어지는지, 사용자가 어떤 키를 입력하는지를 기록합니다. 그 내용을 외부 서버에 보내고, 서버에서 보내는 명령을 처리할 수도 있지요.”

공격자들이 서버에서 보내는 명령은 여러 가지인데 주로 호스트 정보를 수집하는 것과 관련이 있는 것으로 분석됐다. “DLL, EPK, EXE 파일을 실행하거나 셸코드를 로딩하고, 파일 읽기와 쓰기, 삭제 등을 하기도 합니다. 그 외 네트워크 상 사용자들을 목록으로 만들기도 하고, 스크린샷을 캡처하기도 하며, 원격 데스크톱에 로그인을 하기도 합니다. 사용자를 생성하거나 추가하는 것도 가능합니다.”

이렇게 내장 계정을 악용하고, 호스트 정보를 꼼꼼하게 수집하여 필요한 악성 명령만 골라서 실행시키는 건 탐지와 차단, 분석의 난이도를 크게 높이는 전술이라고 포티넷은 강조한다. “공격자들이 언제 어느 구멍을 어떤 식으로 노려도 이상하지 않도록 만반의 준비를 갖추는 거라고 할 수 있습니다. 그러므로 모든 솔루션들을 최신 상태로 유지하면서, 동시에 ‘인적 구멍’을 줄이기 위한 사용자 교육도 필수로 진행돼야 합니다.”

Related Materials

• MostereRAT Deployed AnyDesk/TightVNC for Covert Full Access - BSafes Library, 2025년
• MostereRAT Targets Windows Users With Stealth Tactics - Infosecurity Magazine, 2025년
• MostereRAT Malware Blends In, Blocks Security Tools - Onsite Computing, 2025년
• Phishing Campaign Deploying MostereRAT with Advanced Evasion Techniques - The Mad Hacker, 2025년

인디게임 사용자 노리는 크리덴셜 탈취 캠페인, “영리한 진화”

💡Editor’s Pick - 있지도 않은 인디게임을 유튜브와 디스코드로 광고 - 사실은 크리덴셜 수집하는 정보 탈취 멀웨어 - 미끼가 되는 게임은 전혀 개발하지 않아...오로지 마케팅만 인디게임 사용자들을 노리는 크리덴셜 탈취 캠페인이 발견됐다. 이 캠페인에 유튜브와 디스코드까지 악용됐다. 보안 업체 아크로니스(Acronis)의 분석가들이 공개한 것으로, 공격자들이 원하는 건 사용자들의 크리덴셜인

The Tech Edge문가용 기자

깃허브까지 섭렵한 다크웹 비즈니스맨, 멀웨어 유포 중

💡Editor’s Pick - 깃허브 세 개 계정에 멀웨어 호스팅 되어 있어 - 2월에까지 거슬러 올라가는 캠페인...표적은 우크라이나 - 개발자들의 둥지인 깃허브, 곧 해커들의 둥지가 될 수도 개발자들 사이에서 널리 사용되는 코드 리포지터리인 깃허브(GitHub)가 멀웨어 배포처로서 악용됐다. 시스코(Cisco)의 탈로스(Talos) 팀이 지난 4월 발견한 것으로, 공격자들은

The Tech Edge문가용 기자