PDF 파일로 시작되는 공격 흐름

안랩은 Syncro, SuperOps, NinjaOne, ScreenConnect 등 정상적인 RMM 도구를 악용한 공격 사례를 확인했다. 공격자는 PDF 문서를 유포해 사용자가 외부 링크를 클릭하도록 유도했으며, 이를 통해 RMM 도구를 직접 다운로드·실행하게 만드는 방식을 사용했다.

확인된 PDF 파일들은 “Invoice”, “Product Order”, “Payment” 등 업무 관련 문서를 연상시키는 이름을 사용하고 있어 피싱 이메일의 첨부 파일로 유포됐을 가능성이 있는 것으로 추정된다.

PDF를 열면 미리 보기가 불가능하다는 안내와 함께 구글 드라이브 링크 클릭을 유도하거나, PDF 로드 실패 메시지를 표시하며 어도비를 사칭한 주소(adobe-download-pdf[.]com)로 리다이렉트되는 정황도 확인됐다.

동영상 파일로 위장한 RMM 유포

사용자가 링크를 클릭하면, 구글 드라이브를 위장한 페이지로 연결되며 “Video_recorded_on_iPhone17.mp4”라는 파일명이 표시된다. 실제 다운로드되는 파일 역시 MP4 동영상처럼 보이지만, 실행 시 RMM 설치 과정이 진행된다.

이처럼 공격자는 PDF → 구글 드라이브 위장 페이지 → 동영상 파일 위장 실행 파일로 이어지는 단계적인 유도 방식을 사용한 것으로 분석됐다.

RMM 도구를 악용한 공격 특징

이번 공격에 사용된 Syncro RMM은 MSP 및 IT 관리자를 위한 정상적인 원격 관리 도구다. 이러한 RMM 도구는 악성코드가 아니면서도 시스템에 대한 원격 제어 기능을 제공하기 때문에, 공격자들이 보안 탐지를 우회하기 위한 수단으로 악용하는 사례가 지속적으로 보고되고 있다.

실제로 방화벽이나 백신 제품에서는 정상 도구로 분류되는 RMM을 일괄적으로 차단하기 어려운 한계가 존재한다.

과거에도 Chaos, Royal 랜섬웨어 조직이나 APT 위협 그룹 MuddyWater 등이 Syncro와 유사한 RMM 도구를 악용한 사례가 공개된 바 있다.

동일 인증서로 서명된 다양한 RMM 도구

이번 공격에서 사용된 악성 파일들은 Advanced Installer로 제작된 설치 파일이며, 현재는 해지된 상태지만 유효했던 인증서를 통해 서명돼 유포됐다. 인증서 분석 결과, 공격자는 최소 2025년 10월경부터 유사한 방식의 공격을 수행해 온 것으로 보인다.

Syncro 설치 과정에서는 “key”, “customerid”와 같은 실행 인자가 사용되는데, 이는 공격자를 식별하기 위한 값으로 추정된다. 동일한 Key와 Customer ID를 사용하는 파일들이 2025년 12월 하반기에 집중적으로 발견된 점을 고려하면, 동일 공격자에 의한 활동으로 판단된다.

이외에도 동일한 인증서로 서명된 파일들 중에는 ConnectWise ScreenConnect, NinjaOne, SuperOps 등 다양한 RMM 솔루션이 포함돼 있었다. 이들 역시 정상적인 IT 관리 목적의 도구이지만, 과거 여러 위협 행위자들에 의해 악용된 사례가 보고된 바 있다.

RMM 설치를 위한 다운로더 정황

안랩은 RMM 설치 파일 외에도 동일 인증서로 서명된 다운로더 형태의 악성 파일을 확인했다. 해당 다운로더는 NSIS로 제작됐으며, 내부 스크립트에는 추가 페이로드를 다운로드하는 명령이 포함돼 있다.

과거 이 주소를 통해 NinjaOne RMM이 유포된 이력이 있으며, 스크립트 내에도 NinjaOne 관련 키워드가 포함된 점이 확인됐다.

이번 사례는 정상적인 관리 도구와 파일 형식을 악용해 사용자의 경계를 낮추는 공격 방식이 여전히 유효함을 보여준다. 출처가 불분명한 이메일의 첨부 파일이나 링크를 열기 전에는 발신자와 내용의 신뢰성을 반드시 확인해야 한다.

또한 운영체제와 보안 제품을 최신 상태로 유지하고, 조직 차원에서는 정상 도구 악용 가능성까지 고려한 보안 정책 점검이 필요하다.

[출처 : 안랩(www.ahnlab.com)]