it

피싱 캠페인, SimpleHelp 및 ScreenConnect RMM 도구를 사용해 80개 이상의 조직을 공격

발행: (2026년 5월 5일 AM 03:06 GMT+9)
6 분 소요
원문: The Hacker News

Source: The Hacker News

Overview

2025년 4월 최소한으로 관측된 VENOMOUS#HELPER라는 코드명을 가진 활발한 피싱 캠페인이 진행되고 있습니다. 이 작업은 합법적인 원격 모니터링 및 관리(RMM) 도구인 SimpleHelp와 ConnectWise ScreenConnect를 이용해 감염된 호스트에 지속적인 원격 접근을 구축합니다.

Securonix에 따르면, 이번 캠페인은 80개 이상의 조직에 영향을 미쳤으며, 주로 미국에 위치한 조직들입니다. 이 활동은 Red Canary와 Sophos가 이전에 추적한 클러스터와 겹치며, Sophos에서는 STAC6405로 식별되었습니다. 위협 행위자는 아직 확인되지 않았지만, 전술은 재정적 동기를 가진 초기 접근 브로커(IAB) 또는 랜섬웨어 전조 그룹과 일치합니다.

“이 경우, 맞춤형 SimpleHelp와 ScreenConnect RMM이 방어를 우회하는 데 사용되는데, 이는 피해자가 모르는 사이에 정식으로 설치된 것이기 때문입니다.” — Securonix 연구원 Akshay Gaikwad, Shikha Sangwan, Aaron Beardslee.

공격 흐름

1. 피싱 이메일

  • 보낸 사람 사칭: 미국 사회보장국 (SSA).
  • 메시지: 수신자에게 이메일 주소를 확인하고 “SSA 진술서”를 다운로드하라는 지시가 주어짐.
  • 악성 링크: 스팸 필터를 회피하기 위해 선택된, 손상된 멕시코 비즈니스 사이트(gruta.com.mx)를 가리킴.

2. SimpleHelp 페이로드 전달

  • 링크는 두 번째 공격자 제어 도메인(server.cubatiendaalimentos.com.mx)으로 리다이렉트됩니다.
  • 실행 파일(JWrapper로 패키징됨)이 다운로드되어 SimpleHelp RMM 클라이언트를 설치합니다.

3. 지속성 및 자체 복구

  • 악성코드는 안전 모드 지속성을 이용해 Windows 서비스로 등록됩니다.
  • “자체 복구 감시자”가 서비스가 종료될 경우 재시작합니다.
  • 67 초마다 root\SecurityCenter2 WMI 네임스페이스를 통해 설치된 보안 제품을 열거하고, 매 23 초마다 사용자 존재 여부를 확인합니다.

4. 권한 상승

  • SimpleHelp 클라이언트는 AdjustTokenPrivileges를 사용해 SeDebugPrivilege를 획득합니다.
  • 정식 elev_win.exe 바이너리를 활용해 SYSTEM 권한을 얻어 전체 데스크톱 상호작용(스크린 캡처, 키 입력 주입, 파일 전송)을 가능하게 합니다.
// Example of AdjustTokenPrivileges usage (illustrative only)
BOOL result = AdjustTokenPrivileges(
    hToken, FALSE, &tp, 0, NULL, NULL);

5. 백업 RMM 배포

  • SimpleHelp를 통해 제어를 확보한 후, 공격자는 ConnectWise ScreenConnect를 보조 채널로 설치합니다.
  • 이 이중 채널 구조는 하나의 도구가 탐지·차단되더라도 지속적인 접근을 보장합니다.

Impact

  • 원격 관리 기능: 공격자는 명령을 조용히 실행하고, 파일을 양방향으로 전송하며, 인접 시스템으로 피벗할 수 있습니다.
  • 회피: SimpleHelp(v5.0.1)와 ScreenConnect 모두 평판이 좋은 영국 업체에 의해 서명되어 있어, 많은 서명 기반 방어를 우회할 수 있습니다.
  • 지속성: 자체 복구 서비스와 SYSTEM 수준 권한으로 인해 철저한 포렌식 분석 없이는 제거가 어렵습니다.

완화 권고사항

  1. Email hygiene: DMARC, DKIM, SPF 검사를 구현하고, 사용자에게 SSA 사칭 시도에 대해 교육합니다.
  2. Web filtering: 알려진 악성 도메인(gruta.com.mx, cubatiendaalimentos.com.mx)에 대한 접근을 차단합니다.
  3. Endpoint detection: 비정상적인 서비스 설치 및 권한 상승 패턴을 감지할 수 있는 행동 기반 EDR 솔루션을 배포합니다.
  4. RMM control: 모든 승인된 RMM 도구를 목록화하고, 서명되지 않았거나 예상치 못한 바이너리 설치를 제한합니다.
  5. Incident response: SimpleHelp 또는 ScreenConnect 바이너리가 정당한 비즈니스 사유 없이 엔드포인트에서 발견될 경우, 호스트를 격리하고, 포렌식 증거를 수집한 뒤 안전 모드 또는 오프라인 도구를 사용해 서비스를 제거합니다.

References

  • Securonix 블로그 게시물: VENOMOUS#HELPER 피싱 캠페인
  • Red Canary의 RMM 기반 피싱 분석
  • Sophos 위협 bulletin (STAC6405)
  • AdjustTokenPrivileges에 대한 Microsoft 문서
0 조회
#phishing #RMM #Remote Monitoring and Management #cybersecurity #threat intelligence #VENOMOUS#HELPER #malware #remote access
원문 보기
Share:
Back to Blog

관련 글

더 보기 »