피드로 돌아가기
CPUID site hijacked to serve malware instead of HWMonitor downloads
The RegisterThe Register
Security

Backend API 침해를 통한 Download Link 하이재킹 및 Memory-only Payload 주입 사례

CPUID site hijacked to serve malware instead of HWMonitor downloads

Carly Page2026년 4월 10일2intermediate

AI 요약

Context

CPUID 웹사이트의 Backend Component 내 Secondary API 취약점을 이용한 공급망 공격 발생. Software Build 과정이 아닌 다운로드 서빙 레이어의 무결성 훼손으로 인한 신뢰 체계 붕괴 상황.

Technical Solution

  • Secondary API 권한 탈취를 통한 Main Website 내 다운로드 경로 무작위 변조
  • 정식 서명된 Original File 대신 외부 악성 실행 파일(HWiNFO_Monitor_Setup.exe)로 Redirect 유도
  • 가짜 CRYPTBASE.dll을 통한 C2 서버 통신 및 추가 Payload 다운로드 메커니즘 구현
  • File-less 공격 기법을 적용한 PowerShell 기반의 Memory-resident 실행 구조 채택
  • Victim Machine 내 .NET Payload 실시간 컴파일 및 타 프로세스 Injection 수행
  • Chrome IElevation COM Interface 접근을 통한 저장된 자격 증명 복호화 시도

실천 포인트

- 서빙 레이어의 API 권한 최소화 및 접근 제어 정책 재검토 - 다운로드 링크의 무결성 검증을 위한 Subresource Integrity(SRI) 또는 Hash 검증 체계 도입 - 빌드 파이프라인 외에 배포 경로(Delivery Path)에 대한 실시간 모니터링 및 이상 징후 탐지 설정 - Memory-only 페이로드 대응을 위한 EDR(Endpoint Detection and Response) 솔루션 최적화

태그

#C2 Server#Process Injection#API Security#Supply Chain Attack#Fileless Malware
원문 읽기