러시아 엘리트 해커, Clickfix 공격 기법 채택

원제: Now, even Russia's most elite hackers are using Clickfix to infect devices

왜 중요한가

금전적 동기의 범죄 집단이 주로 사용하던 Clickfix를 국가 지원 APT 그룹이 채택함으로써, 해당 기법의 위협 수준이 국가 간 사이버전으로 격상됐음을 보여준다.

우크라이나 CERT는 2026년 7월 16일, 러시아 군사정보기관 GRU 산하 정예 해킹 그룹 Sandworm이 사회공학 기법인 Clickfix를 이용해 우크라이나 내 민감 기관의 기기를 감염시키고 있다고 경고했다. 봄부터 시작된 이 캠페인으로 최소 1개 기관의 네트워크가 침해됐으며, 10개 이상의 웹사이트가 악성 코드 배포에 악용된 것으로 확인됐다.

Clickfix는 공격자가 제어하는 웹사이트에서 가짜 CAPTCHA를 표시하고, 방문자에게 특정 텍스트를 복사해 터미널에 붙여넣도록 유도하는 사회공학 기법이다. 입력된 텍스트에는 악성 스크립트가 포함되어 있어 실행 시 맬웨어 설치나 데이터 탈취로 이어진다. 주로 금전적 동기를 가진 사이버 범죄 집단이 지난 1년여간 활용해 왔으나, 이번에 국가 지원 해킹 그룹인 Sandworm이 이를 채택한 사실이 확인됐다.

우크라이나 당국이 확인한 공격 흐름에 따르면, 가짜 CAPTCHA를 통해 PowerShell 명령어를 실행하도록 유도한 후, GHETTOVIBE라는 악성 VBS 파일을 시작 디렉터리에 저장한다. 이어 SCOUTCURL이라는 PowerShell 기반 정찰 도구가 설치되며, 감염 기기의 기본 정보, 설치 프로그램, 파일, 브라우저 데이터 등을 수집·유출한다. 중요도가 높은 것으로 판단된 시스템에는 백도어 맬웨어인 FreakyPoll(Python 스크립트), 백신 프로그램으로 위장한 FluidLeech, 그리고 LoadLoop 등 추가 맬웨어가 배포된다.

또한 공격자들은 Cloaking.House 서비스의 트래픽 필터링 기능 외에 SMARTAXE라는 별도 프로그램 코드를 활용해 방문자에게 표시되는 웹페이지 콘텐츠를 동적으로 변조하는 것으로 분석됐다. CERT-UA는 2026년 6월~7월 중 10개 이상의 침해 웹 리소스를 상세 분석한 결과를 공개했다.

출처

arstechnica.com — 원문 읽기 →