CrashFix 크롬 확장 프로그램

사이버 보안 연구원들이 KongTuke라는 이름의 악성 구글 크롬 확장 프로그램을 악용하는 활발한 공격 캠페인을 발견했습니다. 이 확장 프로그램은 광고 차단 프로그램으로 위장하고 있으며, 의도적으로 브라우저를 다운시키고 ClickFix와 같은 사회 공학적 기법을 통해 공격자가 조종하는 명령을 실행하도록 유도합니다. 이 기법의 최신 진화형은 CrashFix라는 코드명을 가지고 있으며, 궁극적으로 ModeloRAT이라는 이전에 알려지지 않은 원격 접속 트로이목마를 유포합니다.

KongTuke는 404 TDS, Chaya_002, LandUpdate808, TAG-124 등의 이름으로도 추적되며, 트래픽 분산 시스템(TDS)으로 작동합니다. 이 시스템은 피해자의 환경을 분석하고 선택된 대상을 악성 페이로드 전달 인프라로 리디렉션합니다. 감염된 호스트에 대한 접근 권한은 랜섬웨어 운영자를 포함한 다른 위협 행위자에게 판매되거나 이전되어 2차 공격을 가능하게 합니다.

TAG-124 인프라를 악용한 것으로 이전에 관찰된 위협 그룹에는 Rhysida 랜섬웨어, Interlock 랜섬웨어 및 TA866(Asylum Ambuscade)이 포함됩니다. 2025년 4월 보고서에 따르면 이러한 활동은 SocGholish 및 D3F@ck Loader와도 연관되어 있습니다.

크롬 웹 스토어에서 타협까지

확인된 감염 경로에 따르면, 피해자들은 온라인에서 광고 차단기를 검색했고, 그 결과 공식 크롬 웹 스토어에 직접 호스팅된 브라우저 확장 프로그램으로 연결되는 악성 광고를 보게 되었습니다.

'NexShield – Advanced Web Guardian'(ID: cpcdkmjddocikjdkbbeiaafnpdbdafmi)이라는 이름의 이 확장 프로그램은 광고, 추적기, 악성코드 및 침해적인 웹 콘텐츠를 차단한다고 주장하며 '궁극의 개인정보 보호막'으로 소개되었습니다. 삭제되기 전까지 최소 5,000회 다운로드되었습니다.

엄밀히 말하면, 해당 확장 프로그램은 정식 광고 차단 확장 프로그램과 거의 똑같은 복제품이었습니다. 하지만 익숙한 인터페이스 뒤에는 브라우저가 '비정상적으로 중지되었다'는 허위 보안 경고를 표시하고 사용자가 마이크로소프트 엣지와 관련된 것처럼 위장한 가짜 검사를 시작하도록 유도하는 기능이 숨겨져 있었습니다.

위기 극복을 통한 신뢰 구축

사용자가 검사 실행을 클릭하면 확장 프로그램은 Windows 실행 대화 상자를 열고 클립보드에 복사된 명령을 실행하라는 지침을 표시합니다. 이 과정이 진행되는 즉시 확장 프로그램은 의도적으로 서비스 거부(DoS) 루틴을 실행하여 무한 루프를 통해 끝없는 런타임 포트 연결을 생성하고, 동일한 단계를 최대 10억 번 반복합니다.

이러한 리소스 고갈은 극심한 메모리 사용량 증가를 초래하여 브라우저 속도를 저하시키고 응답을 막았으며, 결국 충돌을 일으켰습니다. 의도적인 불안정성은 부작용이 아니라 사회공학적 기법의 핵심 요소였습니다.

설치가 완료되면 확장 프로그램은 공격자가 제어하는 서버인 nexsnield[.]com으로 고유 식별자를 전송하여 피해자 추적을 가능하게 했습니다. 악성 활동은 설치 후 60분 동안 지연된 후 10분마다 다시 실행되었습니다.

DoS 공격 루틴을 실행하기 전에 확장 프로그램은 로컬 저장소에 타임스탬프를 저장했습니다. 사용자가 브라우저를 강제로 종료하고 다시 시작하면 시작 핸들러가 이 값을 확인했습니다. 이 값이 존재하면 CrashFix 팝업이 나타난 다음 타임스탬프를 삭제하여 경고가 충돌의 원인이 아니라 결과인 것처럼 보이게 했습니다.

DoS 공격 루틴은 다음 세 가지 조건이 모두 충족될 때만 실행되었습니다. 피해자 UUID가 존재하고, 명령 및 제어 서버가 성공적으로 응답했으며, 팝업 창이 최소 한 번 이상 열리고 닫혔습니다. 이러한 논리는 공격자가 페이로드 루프를 완전히 활성화하기 전에 사용자 상호 작용을 확인하려 했음을 강력하게 시사합니다.

그 결과 악순환이 발생했습니다. 시스템이 멈춘 후 강제로 재시작할 때마다 가짜 경고 메시지가 다시 나타났습니다. 확장 프로그램이 설치된 상태로 유지되면 10분 후 충돌 현상이 다시 발생했습니다.

모호함, 분석 거부, 그리고 자급자족 생활

가짜 팝업 창은 마우스 오른쪽 클릭 컨텍스트 메뉴를 비활성화하고 개발자 도구에 접근하는 데 일반적으로 사용되는 키보드 단축키를 차단하는 등 여러 가지 분석 방지 조치를 시행했습니다.

CrashFix 명령은 정식 Windows 유틸리티 finger.exe를 악용하여 199.217.98[.]108에서 2차 단계 페이로드를 검색하고 실행했습니다. KongTuke가 Finger 유틸리티를 사용한 것은 2025년 12월에 이미 문서화되었습니다.

다운로드된 페이로드는 추가 스크립트를 가져오는 PowerShell 명령이었는데, 이 스크립트는 여러 단계의 Base64 인코딩과 XOR 연산을 통해 내용을 숨겼으며, 이는 사회주의 고발 캠페인에서 오랫동안 사용되어 온 기법과 유사합니다.

암호 해독 후, 스크립트는 활성 프로세스를 검사하여 50개 이상의 알려진 분석 도구 및 가상 머신 표시기를 찾고, 발견될 경우 즉시 종료했습니다. 또한 시스템이 도메인에 가입되어 있는지 또는 독립 실행형 작업 그룹의 일부인지 평가한 후, 동일한 서버로 다음 내용을 포함하는 HTTP POST 요청을 보냈습니다.

• 설치된 안티바이러스 제품 목록
• 호스트 분류 플래그: 독립형 시스템의 경우 'ABCD111', 도메인에 가입된 시스템의 경우 'BCDA222'입니다.

ModeloRAT: 기업 환경에 최적화된 솔루션

감염된 시스템이 도메인에 가입된 것으로 확인되면 감염 사슬은 Python 기반 Windows 원격 액세스 트로이목마인 ModeloRAT의 배포로 귀결됩니다. 이 악성 프로그램은 170.168.103[.]208 또는 158.247.252[.]178에 있는 명령 및 제어 서버와 RC4로 암호화된 채널을 통해 통신합니다.

ModeloRAT은 Windows 레지스트리를 통해 지속성을 확보하고 바이너리, DLL, Python 스크립트 및 PowerShell 명령 실행을 지원합니다. 또한 내장된 수명 주기 제어 기능을 통해 운영자는 전용 명령을 사용하여 원격으로 임플란트를 업데이트하거나 종료할 수 있습니다.

RAT는 행동 탐지를 회피하도록 설계된 다단계 비콘 전략을 구현합니다.

• 정상적인 상황에서는 300초마다 신호를 보냅니다.
• 서버에서 활성 모드로 전환되면 구성 가능한 간격(기본값은 150밀리초)으로 적극적으로 폴링합니다.
• 6회 연속 통신 실패 후에는 간격이 900초로 줄어듭니다.
• 한 번의 연결 실패 후 150초 후에 재연결을 시도하고, 그 이후에는 표준 시간으로 돌아갑니다.

이러한 적응형 로직을 통해 ModeloRAT은 네트워크 트래픽에 자연스럽게 녹아들면서도 필요할 때 신속한 운영자 상호 작용을 지원할 수 있습니다.

두 가지 경로 감염 전략

도메인에 가입된 시스템에 ModeloRAT을 배포한 것은 기업 환경과 심층적인 네트워크 침투에 초점을 맞춘 것으로 보이지만, 독립형 시스템은 다른 다단계 과정을 거쳤습니다. 이러한 경우 명령 및 제어 서버는 최종적으로 '테스트 페이로드!!!!'라는 메시지를 표시했는데, 이는 이러한 병렬 감염 경로가 아직 개발 중일 가능성을 시사합니다.

더 큰 그림: 계획적인 사회 공학

KongTuke의 CrashFix 캠페인은 현대의 위협 행위자들이 사회공학적 기법을 어떻게 정교하게 설계된 제어 루프로 발전시키는지 보여줍니다. 공격자들은 신뢰할 수 있는 오픈 소스 프로젝트를 사칭하고, 의도적으로 브라우저를 불안정하게 만든 다음, 가짜 해결책을 제시함으로써 사용자의 불만을 순응으로 전환시켰습니다.

이번 작전은 브라우저 확장 프로그램, 신뢰할 수 있는 마켓플레이스, 그리고 현지 자원을 활용하는 도구들을 결합하여 어떻게 강력한 감염 사슬을 구축할 수 있는지 보여줍니다. 이러한 감염 사슬은 단순히 은밀하게 진행되는 것이 아니라, 피해자가 스스로 공격을 시작하도록 반복적으로 조작함으로써 지속됩니다.