사이버 보안 · 2 min read · Sep 08, 2025

마이크로소프트 경고: 악성 광고로 100만 대 이상의 장치 감염

마이크로소프트는 최근 전 세계적으로 100만 대 이상의 장치에 영향을 미친 대규모 악성 광고 캠페인에 대한 긴급 경고를 발표했습니다.

이 캠페인은 Storm-0408로 식별된 위협 행위자 그룹에 의해 조직되었으며, 피싱, 검색 엔진 최적화(SEO), 악성 광고 캠페인을 활용하여 악성 페이로드를 배포하고 민감한 사용자 데이터를 훔쳤습니다.

“이 공격은 악성 광고 리디렉터가 포함된 불법 스트리밍 웹사이트에서 시작되어, 사용자가 GitHub 및 두 개의 다른 플랫폼으로 리디렉션되는 중간 웹사이트로 이어졌습니다.”라고 마이크로소프트 위협 인텔리전스 팀은 목요일 블로그 게시물에서 작성했습니다.

“이 캠페인은 소비자 및 기업 장치를 포함한 다양한 조직과 산업에 영향을 미쳤으며, 공격의 무차별적인 성격을 강조합니다.”

공격 작동 방식

악성 광고는 해커가 합법적인 온라인 광고에 유해한 코드를 주입하여 맬웨어를 퍼뜨리는 사이버 공격 방법입니다.

마이크로소프트 연구원들은 2024년 12월 초 Storm-0408이 불법으로 복제된 스트리밍 웹사이트의 비디오에 악성 광고를 배치하여 사용자를 주로 타겟팅하고 있음을 발견했습니다. 여기서 무심코 방문한 사용자가 감염된 광고를 클릭했습니다.

사용자가 이러한 오도하는 광고 중 하나를 클릭하면, 여러 중간 사이트를 통해 리디렉션되어 GitHub, Discord 및 Dropbox와 같은 인기 플랫폼의 맬웨어 호스팅 리포지토리로 이어졌습니다.

이 리포지토리에는 실행 시 사용자 장치를 다양한 유형의 맬웨어로 감염시키는 악성 페이로드가 포함되어 있었습니다.

“스트리밍 웹사이트는 영화 프레임 내에 악성 광고 리디렉터를 삽입하여 악성 광고 플랫폼으로부터 유료 시청 또는 클릭당 수익을 생성했습니다. 이러한 리디렉터는 이후 하나 또는 두 개의 추가 악성 리디렉터를 통해 트래픽을 라우팅하여, 결국 맬웨어 또는 기술 지원 사기 웹사이트와 같은 다른 웹사이트로 리디렉션되었으며, 그 후 GitHub로 리디렉션되었습니다.”라고 마이크로소프트는 덧붙였습니다.

배포된 맬웨어 유형

이 공격은 고급 다단계 맬웨어 감염으로 구성되었습니다. 초기 페이로드는 드로퍼 역할을 하여, 나중 단계의 페이로드를 조용히 다운로드하고 피해자의 컴퓨터에 악성 코드를 실행했습니다. 배포된 가장 주목할 만한 맬웨어는 다음과 같습니다:

  • Lumma Stealer – 로그인 자격 증명, 시스템 세부정보 및 브라우저 데이터를 추출하는 정보 도용 맬웨어.
  • Doenerium (업데이트 버전) – 공격자가 민감한 정보를 수집할 수 있는 능력을 더욱 향상시킨 악명 높은 정보 도용기의 개편 버전.

이러한 맬웨어 변종은 비밀번호, 개인 정보 및 심지어 은행 로그인 자격 증명과 같은 민감한 사용자 정보를 수집하기 위해 설계되었습니다.

위협 행위자가 정보를 얻은 후, 이는 공격자의 명령 및 제어(C2) 서버로 전달되어 개별 사용자와 기업을 위협했습니다.

해커가 사용하는 회피 전술

Storm-0408은 탐지를 피하기 위해 정교한 방법을 구현했습니다. 이러한 전술 중 하나는 합법적인 클라우드 플랫폼에 악성 페이로드를 호스팅하여 맬웨어가 일반 네트워크 트래픽과 병합되어 보안 경고를 유발하지 않도록 하는 것이었습니다.

또한, 위협 행위자는 의심을 불러일으키지 않고 사용자 데이터 및 브라우저 자격 증명을 C2 및 데이터 유출을 위해 PowerShell.exe, MSBuild.exe 및 RegAsm.exe와 같은 생활 기반 바이너리 및 스크립트(LOLBAS)를 활용했습니다.

마이크로소프트의 대응 및 보안 조치

이 대규모 사이버 위협에 대응하여, 마이크로소프트는 GitHub, Discord 및 Dropbox에 호스팅된 악성 리포지토리를 제거하고, 공격자가 맬웨어에 서명하는 데 사용한 12개의 손상된 디지털 인증서를 취소하며, 조직과 개인이 이러한 위협으로부터 시스템을 보호할 수 있도록 기술 세부정보 및 타협 지표(IoCs)를 공개하는 등 여러 즉각적인 조치를 취했습니다.

장치를 보호하는 방법

이 공격의 규모를 감안할 때, 사용자는 시스템을 보호하기 위해 적극적인 조치를 취할 것을 강력히 권장합니다. 여기에는 불법 스트리밍 사이트 및 낯선 온라인 광고를 피하고, 신뢰할 수 있는 안티바이러스 및 엔드포인트 보호 도구를 사용하며, 데이터 유출을 나타낼 수 있는 비정상적인 아웃바운드 연결을 모니터링하고, 자격 증명 도용으로부터 계정을 보호하기 위해 다단계 인증(MFA)을 활성화하는 것이 포함됩니다.

마이크로소프트의 전체 보고서를 참조하여 공격 단계 및 사용된 페이로드에 대한 자세한 분석을 확인할 수 있습니다.

Share: X/Twitter LinkedIn
#사이버 보안

새 게시물을 받은 편지함에서 받기

스팸은 없습니다. 언제든지 구독 해지 가능합니다.