지난 주, 유명한 하드웨어 개발자 CPUID 웹사이트가 해커의 공격을 받았습니다. 해커는 CPU-Z 및 HWMonitor와 같은 여러 하드웨어 모니터링 소프트웨어의 다운로드 링크를 교체했습니다. 사용자가 해커가 배포한 악성 버전을 실행하면 원격 액세스 트로이 목마에 감염됩니다. 공평하게 말하면 CPU-Z와 같은 소프트웨어는 매우 잘 알려져 있지만 CPUID 팀은 대기업이 아니기 때문에 세부적인 보안 조사를 수행할 수 있는 능력이 없습니다. 따라서 세부 사항은 여전히 Kaspersky와 같은 다른 보안 회사에서 발행한 보고서에 따라 다릅니다.
감염된 사용자 수가 꽤 많을 것입니다.
CPU-Z 및 HWMonitor와 같은 하드웨어 감지 또는 모니터링 소프트웨어는 일반적으로 전문 사용자가 사용합니다. 이러한 소프트웨어를 적극적으로 설치하는 사용자 수는 그리 많지 않을 것입니다. 그럼에도 불구하고 Kaspersky는 최소 150건의 공격을 탐지했습니다.
현재 전 세계적으로 Kaspersky 보안 소프트웨어 시리즈의 사용률을 고려하면, 실제 감염된 사용자 수는 수만 명에 이를 것으로 보수적으로 추측하고 있으며, 대부분의 감염 사고는 브라질, 러시아, 중국에서 발생하고 있습니다.
공격은 2026년 4월 9일 15:00 UTC부터 4월 10일 10:00 UTC까지 발생했습니다.국내 시간 : 2026년 4월 9일 23시 ~ 2026년 4월 10일 18시, 기존 CPUID 추정 6시간이 아닌 총 19시간).
위 기간 동안 CPUID 홈페이지를 통해 CPU-Z 등의 소프트웨어를 다운로드하신 경우, 즉시 데이터를 백업하고 시스템을 재설치하는 것을 권장합니다. 다양한 키를 모두 교체하고 Kaspersky와 같은 소프트웨어를 사용하여 백업 파일의 전체 검사를 수행하는 것이 가장 좋습니다.
게으른 해커는 감염 횟수를 줄입니다.
이번 공격의 추적이 매우 간단하다는 점은 주목할 만하다. 해커가 이전에 FileZilla 악성 버전을 출시했던 도메인 이름을 재사용했기 때문에 STX RAT 관련 해커 집단의 소행으로 추정하기 쉽다.
STX RAT는 HVNC(Advanced Virtual Network Control)와 강력한 정보 탈취 기능을 갖춘 원격 접속 트로이 목마입니다. 원격 제어, 후속 페이로드 실행, 메모리에서 EXE/DLL/PowerShell/셸코드 실행과 같은 악용 후 작업과 같은 기능을 가지고 있습니다. 또한 역방향 프록시를 설정하고 데스크톱 상호 작용을 수행할 수도 있습니다.
문제는 해커들이 게으르고 새로운 도메인 이름을 등록하지 않았다는 점이다. FileZilla 중독 사건(소프트웨어 자체가 해킹된 것은 아니지만, 해커가 인터넷을 통해 중독된 버전을 공개한 경우)에서는 해당 C2 도메인명이 보안업체에 의해 기록되었습니다.
따라서 Kaspersky와 같은 보안 소프트웨어는 악성 도메인 이름을 직접 식별하고 차단할 수 있습니다. 이론상으로는 카스퍼스키 등 백신 소프트웨어를 설치한 사용자는 악성 버전이 공개되면 차단해야 하지만, 보안 소프트웨어를 설치하지 않은 사용자는 감염될 수 있다.
카스퍼스키는 “이번 공격의 배후에 있는 해커들의 전반적인 악성코드 개발, 배포, 운영 능력은 상당히 낮아서 초기 단계에서 공격을 탐지하고 차단할 수 있었다”고 말했다.
자세히 알아보기:
https://securelist.com/tr/cpu-z/119365/