SEO 포이즈닝과 ScreenConnect 악용으로 확산되는 AsyncRAT 캠페인 분석

핵심 요약

  • 공격자는 SEO 포이즈닝 기법으로 검색 결과 상위에 가짜 소프트웨어 다운로드 페이지를 노출시키고, 해당 페이지에서 내려받은 압축 설치 파일 안에 ScreenConnect 원격 클라이언트를 은닉한 것으로 보고됨
  • ScreenConnect가 정상 도구로 실행된 뒤 AsyncRAT 페이로드를 추가로 내려받아 실행하고, 결과적으로 공격자가 피해 시스템을 원격으로 제어할 수 있는 상태가 됨
  • 카스퍼스키는 다수의 도메인과 다국어로 운영되는 대규모 캠페인으로 분류했으나, 구체적인 위협 행위자 그룹은 아직 미확인 상태로 보고함

검색 결과 화면 1장과 신뢰받는 원격관리 도구 1개만으로도 기업의 엔드포인트가 RAT(원격 접근 트로잔목마)에 완전히 장악될 수 있다는 점에서, 이번 사례는 검색 기반 유포와 정상 도구 악용이 결합된 위협 사례로 해석됨

2026년 7월 초, 보안 미디어 The Hacker News는 카스퍼스키의 분석을 인용해 검색 엔진 최적화를 조작한 가짜 소프트웨어 사이트가 ScreenConnect와 AsyncRAT를 연쇄적으로 설치하는 대규모 캠페인을 공개했다. 이번 사건은 단순한 악성코드 유포가 아니라, 정상적인 원격지원 도구를 중간 단계에 끼워 넣어 보안 탐지를 우회하는 이른바 Living-off-the-Land 류의 기법이 결합된 형태로 주목받고 있다.

공격 개요: 검색결과로 위장한 멀웨어 캠페인

SEO 포이즈닝의 정의와 최근 동향

SEO 포이즈닝이란 공격자가 검색 엔진 상위 결과에 자신이 만든 악성 페이지를 노출시키기 위해 검색 엔진 최적화 기법을 악용하는 행위를 말한다. 이번 사례에서는 인기 소프트웨어의 다운로드 페이지를 모방해 사용자 클릭을 유도한 것으로 분석되었다. 검색 엔진은 정상 도메인과 악성 도메인을 구분하지 못하기 때문에, 일반 사용자 입장에서는 평소와 같은 검색 흐름 안에서 감염이 발생한다는 점이 가장 큰 위험으로 지적된다.

ScreenConnect를 선택한 공격자의 전략

ScreenConnect는 IT 지원과 원격 관리 용도로 널리 사용되는 합법 도구다. 공격자는 이 도구를 초기 침투 단계에 활용함으로써 시그니처 기반 보안 제품의 탐지를 우회한 것으로 추정된다. 즉, 첫 단계의 실행 파일이 알려진 신뢰 기업 서명이나 평판을 갖고 있기 때문에, 따라서 보안 솔루션이 단독으로 이를 악성으로 판단하기 어려울 수 있다는 것이다.

공격 사슬 분석: 1단계에서 3단계까지

1단계 – 가짜 소프트웨어 다운로드 페이지 유포

공격자는 SEO 포이즈닝으로 검색 결과 상위에 가짜 페이지를 띄우고, 사용자가 다운로드한 압축 파일 안에 ScreenConnect 클라이언트와 추가 스크립트를 함께 묶어 둔 것으로 분석된다. 사용자가 압축을 해제하고 설치 프로그램을 실행하는 순간이 사실상 공격의 시작점이다.

2단계 – ScreenConnect를 통한 초기 침투

ScreenConnect가 정상적인 원격지원 클라이언트로 실행되면, 공격자 서버와의 원격 세션이 형성된다. 이 시점에서 공격자는 별도의 추가 페이로드를 내려받아 실행할 수 있는 발판을 확보하게 된다. 보고된 내용에 따르면 이 단계는 매우 짧은 시간 안에 자동으로 진행되는 것으로 보인다.

3단계 – AsyncRAT 설치 및 지속화

ScreenConnect를 매개체로 내려받은 최종 페이로드는 AsyncRAT로, AsyncRAT는 키로깅, 화면 캡처, 파일 탈취, 추가 명령 실행 등 시스템 전반에 걸친 공격자 제어 기능을 제공할 수 있는 RAT다.체에 대한 원격 제어 권한을 갖게 된다. 이후 자동 실행 등록이나 작업 스케줄러 등록을 통해 재부팅 후에도 지속될 수 있는 환경이 조성된다.

단계 사용 도구 주요 행위 보안 통상적 위험
1단계 SEO 포이즈닝 사이트 악성 설치 파일 다운로드 유도 사용자 신뢰 기반 감염
2단계 ScreenConnect 정상 원격관리 클라이언트 실행 탐지 우회 및 발판 확보
3단계 AsyncRAT 완전 원격 제어 및 지속화 정보 유출, 추가 침투

카스퍼스키가 밝힌 캠페인 인프라 특징

카스퍼스키는 이 캠페인이 다수의 도메인을 동시에 운영하면서 영문, 한국어, 일본어 등 다국어 페이지로 사용자를 유입시키는 대규모 인프라를 운영 중이라고 분석했다. 다만 구체적인 위협 행위자 그룹에 대해서는 아직 미확인 상태로 보고 있으며, 특정 APT(지능형 지속 위협) 그룹과의 연결 여부는 추가 조사가 필요한 것으로 정리되어 있다. 이러한 다중 도메인·다국어 운영은 캠페인이 단발성이 아니라 지속 가능한 수익 모델을 갖춘 조직형 활동일 가능성을 시사한다.

기업과 개인을 위한 탐지 및 대응 가이드

네트워크 및 EDR 기반 탐지 포인트

ScreenConnect와 같은 정상 도구가 비정상적인 경로로 실행되는지, 또한 설치 후 짧은 시간 안에 외부 C2(명령제어) 서버와 통신이 발생하는지를 모니터링하는 것이 핵심이다. 또한 자식 프로세스, 자동 실행 등록, 작업 스케줄러 변경 이벤트를 결합해 보면 ScreenConnect만으로는 드러나지 않는 후속 행위를 포착할 수 있다. 카스퍼스키의 위협 인텔리전스 보고서도 유사한 행위 기반 탐지 포인트를 권고하고 있다.

소프트웨어 다운로드 시 모범 사례

  • 검색 결과에서 다운로드하기보다 공식 사이트 URL을 직접 입력해 접속하는 습관을 유지한다
  • 설치 파일의 디지털 서명, 게시자 정보, 해시 값을 확인하고 출처가 불분명한 압축 파일은 즉시 삭제한다
  • 회사 자산에서는 소프트웨어 설치 권한을 표준 사용자 권한으로 제한하고, 화이트리스트 기반 애플리케이션 통제 정책을 적용한다
  • 원격관리 도구는 사내 정책에 따라 승인된 배포 경로만 사용하도록 네트워크 차원에서 통제한다

정리 포인트

  • 이번 캠페인은 검색 상위 노출이라는 사용자 접점과 정상 원격관리 도구라는 신뢰 도구를 결합해 탐지 회피 효율을 높인 사례다
  • 공격 사슬의 핵심은 ScreenConnect를 통한 초기 침투이므로, 비정상 출처의 ScreenConnect 실행을 행위 기반으로 모니터링하는 것이 중요하다
  • 기업은 원격관리 도구의 승인 정책과 소프트웨어 다운로드 정책, 그리고 EDR 시그니처를 함께 정비해 대응 체계를 강화해야 한다

참고 자료: The Hacker News 원문 기사, Kaspersky 위협 인텔리전스 보고서 (Securelist)

관련 키워드: SEO 포이즈닝, ScreenConnect 악용, AsyncRAT, 공급망 공격, 원격접근 트로잔목마, 카스퍼스키, 악성 설치파일, 멀웨어 캠페인, 위장 다운로드, EDR 탐지, 사용자 보안 인식, 원격관리 도구 남용, 검색 엔진 조작, 위협 인텔리전스

댓글 남기기