ㅁ 개요
 
  o IT 관리자·개발자를 대상으로 유틸리티 도구로 위장한 악성코드가 GitHub를 통해 유포되고 있어 이용자 주의 권고
  * GitHub : 소스코드 저장소 제공 및 관리 서비스
 
 
ㅁ 주요 내용
 
  o 공격자는 IT 실무 환경에서 빈번하게 사용되는 유틸리티 프로그램(WinDbg, PsExec, Tftpd64 등)으로 위장한 악성 MSI 설치 파일을 GitHub에 유포
 
  o 검색엔진 최적화(SEO)를 악용하여 Google, Bing 등 주요 검색엔진 상위에 악성 저장소를 노출시켜, 이용자가 정상 소프트웨어*로 오인하여 다운로드·실행하도록 유도
     * 위장대상 : Tftpd64 / Postman / WinDbg / PsExec / USMT / IntuneWinAppUti / BgInfo / RDCMan
 
 
□ 감염 징후 확인 방법
 
  o 파일시스템 : %LOCALAPPDATA% 하위 랜덤 6자 디렉토리 및 비정상 node.exe 존재 여부 확인
 
  o 레지스트리 : HKCU\Software\Microsoft\Windows\CurrentVersion\Run에 랜덤키가 등록되어 있고 node.exe로 .cfg/.ini 파일을 실행하는 명령 존재 여부 확인
 
  o 프로세스 : msiexec.exe → cmd.exe → node.exe 프로세스 체인 또는 %LOCALAPPDATA% 경로에서 node.exe 실행 여부 확인
 
  o 네트워크 : 이더리움 RPC 엔드포인트(rpc.mevblock[.]io, eth.llamarpc[.]com 등)로의 비정상 HTTPS 요청 및 X-Bot-Server 커스텀 헤더 포함 요청 탐지
 
 
□ 대응방안
 
  o 아래의 헌팅 가이드 보고서 링크를 참고하여 자체 점검 후, 침해사고 정황 확인 시 보호나라 누리집을 통해 즉시 신고
   ※ 보호나라 누리집 신고하기(https://www.boho.or.kr/kr/report/list.do?menuNo=205034)
 
 
□ 헌팅 가이드 보고서 링크 : https://thorcert.notion.site/Operation-SearchStrike-IT-3208464edb7d8023ab5af94a673316f2
 
 
□ 침해사고 신고
 
  o 'KISA 인터넷 보호나라&KrCERT' 홈페이지(www.boho.or.kr) → 상담및신고 → 해킹 사고 신고
 
 
□ 기타 문의사항
 
  o 한국인터넷진흥원 118 (국번없이 118)
 
 
□ 작성 : 위협분석단 AI종합분석팀