CPUID 공급망 해킹... CPU-Z·HWMonitor에 RAT 악성코드 삽입

해커가 CPUID 공식 사이트의 백엔드 API를 탈취해 약 6시간 동안 CPU-Z와 HWMonitor 다운로드 링크를 악성 사이트로 교체했다. 공식 사이트에서 정상적으로 다운로드하는 것만으로 감염되는 구조였다.

다운로드한 사용자에게 STX RAT(원격접근 트로이)가 설치됐다. DLL 사이드로딩 기법으로 메모리에서만 5단계로 실행되어 디스크에 흔적이 남지 않는다. 카스퍼스키 기준 150명 이상 피해가 확인됐다.

러시아어권 위협 행위자 소행으로 추정된다. 같은 공격자가 이전에 FileZilla도 표적으로 삼았으며, 동일한 감염 체인과 C2 도메인을 재사용해 연결고리가 확인됐다.

PC 유틸리티 사용자 누구나 해당될 수 있는 공급망 공격이다. 공식 사이트라고 안전하다는 가정이 더 이상 통하지 않는 시대다.

FAQ

어떻게 감염되나?

CPUID 공식 사이트에서 정상적으로 다운로드하면 악성 인스톨러가 받아진다. 실행하면 DLL 사이드로딩으로 STX RAT가 메모리에 로드된다. 디스크에 파일이 남지 않아 탐지가 어렵다.

영향 범위는?

약 6시간 노출(4/9 15:00~4/10 10:00 UTC). 카스퍼스키 기준 150명 이상 감염 확인. 브라질·러시아·중국 등이 주요 피해 지역이다.

이전에도 비슷한 사례가?

같은 공격자가 이전에 FileZilla도 표적으로 삼았다. 동일한 감염 체인과 C2 도메인을 재사용해 연결고리가 확인됐다.

FAQ