워드프레스의 검은 그림자 ‘GrayCharlie’, 자바스크립트 통해 RAT 감염 확산
강초희 2026. 2. 25. 17:55
워드프레스 침해·공급망 공격 확산
가짜 업데이트 기반 RAT 유포·지속성 확보
[보안뉴스 김형근 기자] ‘GrayCharlie’로 명명된 위협 조직이 2023년 중반부터 워드프레스(WordPress) 웹사이트를 침해해 악성 자바스크립트를 삽입, 방문자를 대상으로 원격제어 악성코드(RAT)를 유포해온 것으로 드러났다.

▲‘Activitar’를 사칭하는 웹사이트 [출처: Elastic]
이들은 정상 사이트의 문서객체모델(DOM)에 스크립트 태그를 삽입해 방문자의 브라우저 및 OS 정보를 수집한 뒤, 가짜 브라우저 업데이트나 위조 CAPTCHA 창을 띄워 사용자가 직접 악성 파일을 실행하도록 유도한다. 이를 통해 넷서포트RAT(NetSupport RAT), 스틸씨(Stealc) 등 정보탈취형 악성코드를 배포해왔으며, 최근에는 원격 제어 트로이목마 ‘SectopRAT’까지 추가한 것으로 확인됐다.
조사 결과 최소 15곳 이상의 미국 로펌 웹사이트가 동일한 악성 도메인을 가리키는 스크립트에 감염된 것으로 파악됐다. 특히 이번 공격은 IT 서비스 업체 ‘SMB Team’을 경유한 공급망 침해로 분석돼 파장이 예상된다.
공격 인프라는 미보클라우드(MivoCloud)와 HZ호스팅(HZ Hosting)에 구축됐으며, C2 서버 운영에는 TCP 443 포트와 SSH를 활용해 정상 트래픽으로 위장했다. 인프라 사용 패턴을 토대로 분석가들은 조직 배후에 러시아어 사용자가 있을 가능성을 제기하고 있다.
사용자가 가짜 업데이트를 실행할 경우 파워쉘(PowerShell)이 작동해 AppData 경로에 악성 클라이언트를 내려받고, 레지스트리 실행 키를 등록해 재부팅 이후에도 자동 실행되는 지속성을 확보한다.
보안 전문가들은 기업 보안팀에 대해 알려진 IP 및 악성 도메인 차단, 웹사이트 내 무단 스크립트 삽입 여부에 대한 상시 점검을 권고했다.
Copyright © 보안뉴스. 무단전재 및 재배포 금지.
보안뉴스에서 직접 확인하세요. 해당 언론사로 이동합니다.
- 中 AI 기업의 조직적 데이터 탈취...앤트로픽 ‘클로드’ 표적
- 러시아 배후 APT28, 서유럽 타깃 사이버 공격 ‘매크로메이즈 작전’ 포착
- [2026 IoT 보안 솔루션 리포트] 연결 사회의 위협 ‘IoT 보안’, 이제는 ‘책임’의 문제
- 이해민 조국혁신당 의원 ‘사이버주권수호상’ 수상... “보안 투자 유도 공로”
- KISIA “일본·중동 시장 K-시큐리티 기회... ‘전주기’ 인재 양성 초점”
- 김진수 제18대 KISIA 회장 “협력과 연대 통해 ‘글로벌 보안 3강’ 현실로”
- 국정원 ‘보안기능 확인서’ 발급 어디까지 왔나?
- 6G-IoT 시대 ‘양자 보안 주권’은 PQC-QKD 통합 아키텍처로
- “협상 불가”...美 샤이엔·아라파호 부족 정부, 랜섬웨어 조직 66만 달러 요구 거부
- AI 날개 단 러시아 초보 해커들, 55개국 FortiGate 600대 ‘심각한’ 침해