해커들이 CPUID 프로젝트의 API에 접근해 공식 웹사이트의 다운로드 링크를 조작하고 널리 사용되는 CPU-Z 및 HWMonitor 도구의 악성 실행 파일을 배포했다는 점이 확인되었습니다. 레딧의 보고에 따르면 악성 파일은 공식 다운로드 포털이 Cloudflare R2 스토리지 서비스로 가리켜지며, 다른 개발자가 만든 진단 도구인 HWiNFO의 트로이목마화 변종을 가져오게 하는 방식으로 유통되었습니다. 악성 이름은 HWiNFO_Monitor_Setup로 의심되며, 실행 시 Inno Setup 래퍼가 포함된 러시아어 설치 프로그램이 동작하는 것이 관찰되었습니다. 정상적인 URL로는 hwmonitor_1.63.exe를 직접 다운로드할 수 있는 사례도 있어 원본 바이너리의 손상은 의심되나 배포 링크의 악성화 가능성이 확인됩니다.
해당 악성은 트로이 목마 형태로 다단계로 작동하며 메모리 상에서만 실행되고, CPUID 도구의 합법적 변종을 표적으로 삼아 파일 위장 기능을 수행합니다. NET 어셈블리에서 NTDLL 기능을 프록시하는 방식 등 EDR 및 AV를 회피하려는 시도가 포착되었고, 동일 위협 그룹이 지난달에는 FileZilla FTP 솔루션 사용자까지 겨냥했다는 사실도 확인되었습니다. CPU-Z 내려받기 파일은 VirusTotal에서 20개 엔진에 의해 탐지되나 특정 식별은 불명확하며, 일부 샘플은 Tedy 트로이 목마로, 일부는 Artemis 트로이 목마로 분류됩니다. 일부 연구원은 이 가짜 HWiNFO 변종이 정보 탈취형 악성코드로 간주합니다.
조사에 따르면 침해는 약 4월 9일 15:00부터 4월 10일 10:00까지 지속되었고, 메인 웹사이트에 악성 링크가 무작위로 표시되는 보조 기능이 침해됐으나 원본 파일은 손상되지 않았다고 전해집니다. 같은 관계자는 해커가 메인 개발자가 휴가 중일 때 공격을 가했다고 밝히고, 카스퍼스키 연구진은 4월 9일 15:00(UTC)부터 10일 10:00(UTC) 사이 악성 버전이 유포되었다고 분석합니다. 악성코드 내용은 DnSpy를 통해 CPU-Z(2.19), HWMonitor Pro(1.57), HWMonitor(1.63), PerfMonitor(2.04) 등의 버전에 맞춰 변조되었으며, 변종에는 CRYPTBASE.dll이라는 악성 DLL이 포함되어 있어 C2 연결과 추가 페이로드 실행을 담당합니다. 이 DLL은 샌드박스 탐지 회피 검사도 수행하고, 조건 충족 시 C2에 연결합니다. 공격자는 과거에도 가짜 사이트를 이용해 악성 파일을 배포한 캠페인에서 같은 C2 구조를 사용한 것으로 관찰되었습니다.
IDA 분석에 따르면 최종 페이로드는 STX RAT로 드러나 정보 탈취 기능이 확인되며 eSentire 연구진의 YARA 규칙으로 탐지됩니다. 카스퍼스키의 분석에 따르면 약 150명 이상의 다운로드가 보고되었고, 피해자는 주로 개인이었으나 브라질, 러시아, 중국 등의 다양한 산업 분야 조직도 포함됩니다. 카스퍼스키는 악성 파일, 악성 DLL 및 공격에 사용된 URL에 대한 침해 지표(IoC)를 제시하고 있으며, 현재 보안 업체들이 이를 비교적 많이 탐지하고 있어 백신 프로그램으로 차단 가능하다는 견해가 제시됩니다.
![[게임]스나이퍼 엘리트 V2 리마스터(SNIPER ELITE V2 REMASTERED)](http://img1.daumcdn.net/thumb/R800x0/?scode=mtistory2&fname=https%3A%2F%2Fblog.kakaocdn.net%2Fdna%2FB53lx%2FdJMcaju9aKT%2FAAAAAAAAAAAAAAAAAAAAAM02D5xvgixEtb7VJ98-_3wHAGrF5HwboZDW4bcSiHDS%2Fimg.webp%3Fcredential%3DyqXZFxpELC7KVnFOS48ylbz2pIh7yKj8%26expires%3D1782831599%26allow_ip%3D%26allow_referer%3D%26signature%3DEIVhT7uswQkUdHsmk%252Ftn8XtPVA0%253D)
