🕵️♀️ “WPS 설치했는데… 왜 이상하지?”
최근 중국어 웹사이트를 중심으로
WPS Office, Sogou, DeepSeek 등
유명 소프트웨어로 위장한 가짜 설치 파일이 유포되고 있습니다.
“설치했더니 이상하게 느려진다”,
“백신이 아무것도 잡지 못한다”…
그 이유는? 바로 이 설치파일에 RAT(Remote Access Trojan) 과
루트킷(Rootkit) 이 몰래 들어있기 때문입니다. 😱
💻 감염 플로우 한눈에 보기
1. 가짜 사이트에 유도
- 실제 WPS, Sogou 공식 사이트처럼 만든 피싱 사이트
- URL만 다름! UI는 진짜처럼 똑같이 구성돼 있어요
2. 설치파일 다운로드 (.msi 또는 .exe)
- 이 파일은 단순한 설치 파일이 아님 ❌
- Shine.exe라는 정상 실행파일을 포함
3. Shine.exe 실행 후 DLL 사이드로딩
- 여기서 진짜 악의적인 행동이 시작됨
- libcef.dll이라는 가짜 DLL을 통해 쉘코드(shellcode) 실행
4. Sainbox RAT + Hidden 루트킷 설치
- 시스템에 몰래 침투 후 원격 제어, 정보 탈취, 감지 우회까지 모두 가능하게 됨
🧠 주요 악성 구성 요소 분석
🛠️ Sainbox RAT
- Gh0stRAT의 변종
- 명령제어(C2) 서버와 통신하며 다음 작업 수행 가능:
- 추가 악성코드 다운로드 & 실행
- 키보드 입력 훔치기
- 시스템 정보 수집
- 파일 탐색 및 탈취
👻 Hidden Rootkit
- 오픈소스 루트킷 기반
- 시스템 내부 은폐 전담 담당
- 악성 프로세스 숨김
- 파일 및 레지스트리 항목 감춤
- 자기 보호: 백신이 죽이지 못함
- 커널 필터 및 콜백 훅 사용
- IOCTL 인터페이스를 통한 제어도 가능
쉽게 말하면, Sainbox RAT이 공격을 수행하고, Hidden Rootkit은 ‘지워지지 않도록, 들키지 않도록’ 도와주는 역할을 하는 셈이에요. 🧥
🧑💻 누가 이런 짓을? Silver Fox 해킹 그룹
이 캠페인은 중국과 연관된 Silver Fox 그룹의 소행으로 분석됩니다.
이들은 최근 1년간 꾸준히 활동한 APT형 해킹 그룹으로 보이며,
처음에는 일반 범죄 집단처럼 보였지만,
현재는 국가적 배경을 가진 지능형 위협 그룹(Advanced Persistent Threat) 으로 평가되기도 합니다.
🎯 이들의 특징은?
- 중국 내 소프트웨어로 위장
- 중국어권 사용자 대상
- 오픈소스 도구 적극 활용 (Gh0stRAT, Hidden 등)
- C2 통신 및 루트킷 은닉 기능 연계 등 고도화된 TTP 사용
🧯 이렇게 예방하세요! (꼭 읽어보세요)
1. 공식 웹사이트만 사용!
- 검색결과 클릭하지 말고, 공식 URL 직접 입력하기
- .cn 같은 도메인, 광고 상단 링크는 항상 의심!
2. 파일 실행 전 ‘디지털 서명’ 확인
- 설치파일 마우스 우클릭 → 속성 → 디지털 서명 탭에서 확인 가능
3. DLL 사이드로딩 탐지 가능한 EDR 도입
- 대부분의 안티바이러스는 DLL 사이드로딩 탐지에 미흡함
- 엔드포인트 탐지 & 대응(EDR) 솔루션 사용 추천
4. 루트킷 탐지를 위한 커널 레벨 보안 점검
- 숨겨진 드라이버나 필터 드라이버 탐지 툴 사용
- 예: GMER, RootkitRevealer (전문가용)
📣 한국도 안심할 수 없다!
이번 캠페인은 중국어권 사용자 중심으로 진행됐지만,
한글판 DeepSeek이나 WPS Korean 버전도 존재하는 만큼,
한국 사용자도 표적이 될 가능성은 충분합니다.
또한, 한국 내에서도 공공기관, 교육기관 등에서 WPS나 Sogou를 설치하는 사례도 많기 때문에
비공식 다운로드 경로 사용 시 위험이 매우 높습니다.
✍️ 마무리하며…
이제는 단순히 "바이러스에 감염되었다"는 수준이 아니라,
파일을 실행했더니 나도 모르게 해커에게 내 컴퓨터를 통째로 넘겨주는 시대가 되어버렸습니다.
특히 이번처럼 정상 파일에 악성 DLL이 숨겨져 있는 ‘사이드로딩’ 방식은
보안 소프트웨어가 탐지하지 못하는 경우가 많아 더더욱 조심해야 해요! 😰
“설치만 했을 뿐인데 내 컴퓨터가 해커의 손에 들어갔다면?”
지금 당장 다운로드 경로부터 점검해보세요!
'CyberSecurity > 해외🌍' 카테고리의 다른 글
| 🛠️ 독일 Microsens 산업 장비의 치명적 보안 결함…“제로 투 히어로” 공격 가능성! (4) | 2025.07.02 |
|---|---|
| 🐍 Snake Keylogger, 정교해진 러시아발 사이버 위협…이번 타겟은 석유 산업! (0) | 2025.07.02 |
| 🚨 Salt Typhoon, 캐나다 통신사 해킹! 패치됐던 취약점 재활용한 중국 APT 공격 (2) | 2025.06.25 |
| 💥 중동 사이버전 격화! 35개 친이란 해커조직, 이스라엘 전방위 타격 선언 (1) | 2025.06.22 |
| 🛡️ Aflac 해킹 사건부터 빅브랜드 사이버 위협까지 – 보험·유통업계가 흔들린다! (6) | 2025.06.22 |