CPUID가 해킹되어 CPU‑Z, HWMonitor 다운로드를 통해 악성코드를 전달

Source: Bleeping Computer

사건 개요

해커들이 CPUID 프로젝트의 API에 접근해 공식 웹사이트의 다운로드 링크를 변조했습니다. 변조된 링크는 수백만 명이 하드웨어 상태 모니터링 및 시스템 사양 확인을 위해 사용하는 인기 있는 CPU‑Z와 HWMonitor 유틸리티에 대한 악성 실행 파일을 제공하게 되었습니다.

Reddit 사용자들은 공식 다운로드 포털이 이제 Cloudflare R2 스토리지 서비스로 연결되고, 다른 개발자의 진단·모니터링 도구인 HWiNFO의 트로이 목마 버전을 가져온다고 보고했습니다.

악성 페이로드

• 악성 파일 이름은 HWiNFO_Monitor_Setup입니다.
• 실행하면 러시아식 설치 프로그램이 Inno Setup으로 포장된 상태로 실행되며, 이는 비정상적이고 매우 의심스럽습니다.
• 사용자는 깨끗한 hwmonitor_1.63.exe 파일을 여전히 직접 다운로드할 수 있음을 확인했으며, 이는 원본 바이너리는 그대로 유지되고 배포 링크만 오염되었음을 의미합니다.

외부 다운로드 체인은 Igor’s Labs와 @vxunderground에 의해 확인되었으며, 이들은 알려진 기법·전술·절차(TTP)를 활용하는 상당히 정교한 로더를 발견했습니다.

“이것을 살짝 건드려 보니, 일반적인 수준의 악성코드가 아니라는 것을 알게 되었습니다.” – vxunderground

“이 악성코드는 깊게 트로이 목마화되어 있으며, 손상된 도메인(cpuid‑dot‑com)에서 배포되고, 파일 위장, 다단계, (거의) 전부 메모리 내에서 동작하며, .NET 어셈블리에서 NTDLL 기능을 프록시하는 등 EDR 및 AV를 회피하는 흥미로운 방법을 사용합니다.”

연구자는 또한 같은 위협 그룹이 지난 달 FileZilla FTP 솔루션 사용자를 표적으로 삼았으며, 널리 사용되는 유틸리티에 집중하고 있음을 언급했습니다. 다운로드된 ZIP 파일은 VirusTotal에서 20개의 안티바이러스 엔진에 의해 탐지되었지만 명확한 식별자는 없습니다. 일부는 Tedy Trojan, 다른 일부는 Artemis Trojan으로 분류하고, 여러 연구자는 가짜 HWiNFO 변종을 인포스틸러라고 부르고 있습니다.

CPUID의 대응

BleepingComputer는 CPUID에 상세 정보를 요청했으며, 담당자는 다음과 같은 성명을 발표했습니다:

“조사는 아직 진행 중이지만, 부수적인 기능(즉, 사이드 API)이 4월 9일부터 4월 10일 사이 약 6시간 동안 손상되어 메인 웹사이트가 무작위로 악성 링크를 표시하게 되었습니다(우리의 서명된 원본 파일은 손상되지 않았습니다). 침해 사실을 발견하고 즉시 수정했습니다.” – CPUID

출처에 따르면 해커들은 메인 개발자가 휴가 중일 때 공격을 감행했습니다. CPUID는 현재 문제를 해결했으며 CPU‑Z와 HWMonitor 모두에 대해 깨끗한 버전을 제공하고 있습니다.