워드프레스 침해·공급망 공격 확산
가짜 업데이트 기반 RAT 유포·지속성 확보

[보안뉴스 김형근 기자] ‘GrayCharlie’로 명명된 위협 조직이 2023년 중반부터 워드프레스(WordPress) 웹사이트를 침해해 악성 자바스크립트를 삽입, 방문자를 대상으로 원격제어 악성코드(RAT)를 유포해온 것으로 드러났다.


▲‘Activitar’를 사칭하는 웹사이트 [출처: Elastic]

이들은 정상 사이트의 문서객체모델(DOM)에 스크립트 태그를 삽입해 방문자의 브라우저 및 OS 정보를 수집한 뒤, 가짜 브라우저 업데이트나 위조 CAPTCHA 창을 띄워 사용자가 직접 악성 파일을 실행하도록 유도한다. 이를 통해 넷서포트RAT(NetSupport RAT), 스틸씨(Stealc) 등 정보탈취형 악성코드를 배포해왔으며, 최근에는 원격 제어 트로이목마 ‘SectopRAT’까지 추가한 것으로 확인됐다.

조사 결과 최소 15곳 이상의 미국 로펌 웹사이트가 동일한 악성 도메인을 가리키는 스크립트에 감염된 것으로 파악됐다. 특히 이번 공격은 IT 서비스 업체 ‘SMB Team’을 경유한 공급망 침해로 분석돼 파장이 예상된다.

공격 인프라는 미보클라우드(MivoCloud)와 HZ호스팅(HZ Hosting)에 구축됐으며, C2 서버 운영에는 TCP 443 포트와 SSH를 활용해 정상 트래픽으로 위장했다. 인프라 사용 패턴을 토대로 분석가들은 조직 배후에 러시아어 사용자가 있을 가능성을 제기하고 있다.

사용자가 가짜 업데이트를 실행할 경우 파워쉘(PowerShell)이 작동해 AppData 경로에 악성 클라이언트를 내려받고, 레지스트리 실행 키를 등록해 재부팅 이후에도 자동 실행되는 지속성을 확보한다.

보안 전문가들은 기업 보안팀에 대해 알려진 IP 및 악성 도메인 차단, 웹사이트 내 무단 스크립트 삽입 여부에 대한 상시 점검을 권고했다.

[김형근 기자(editor@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>