Security trend

We will deliver the up-to-date security information timely.

[해외동향] Microsoft Teams 음성 통화 악용해 EtherRAT 악성코드 유포

2026-07-08

최근 Palo Alto Networks의 Unit 42에 따르면, 해커들이 Microsoft Teams 음성 통화를 이용해 기업 IT 지원 직원을 사칭하고, 직원들에게 EtherRAT 악성코드를 설치하도록 유도하는 공격이 발견되었다. 이 공격은 피싱 이메일, Teams 음성 통화, 합법적인 원격 관리 도구, Node.js 기반 악성코드 로더를 결합하여 피해자의 컴퓨터를 감염시키는 방식으로 진행된다. 공격자는 "Employee Survey"라는 미끼가 담긴 피싱 이메일과 악성 PDF를 먼저 발송한 뒤, 외부 계정으로 Teams 음성 통화를 걸어 시스템 관리자를 사칭한다.

피해자가 Teams의 화면 공유 기능을 통해 원격 제어를 허용하면, 공격자는 HopToDesk, AnyDesk 등 합법적인 원격 접근 도구 설치를 유도한다. 이후 camorreado[.]click에서 악성 MSI 설치 파일을 다운로드 및 실행하게 하여, Node.js 런타임을 이용해 EtherRAT을 설치한다. EtherRAT은 Node.js로 작성된 크로스플랫폼 원격 액세스 트로이 목마로, 공격자에게 시스템 제어권을 부여하고, 파일 조작, 데이터 탈취, 지속성 유지 등이 가능하다. 이 악성코드는 Ethereum 스마트 컨트랙트를 통해 C2 서버 정보를 받아와 탐지와 차단을 어렵게 한다.

Microsoft Teams를 악용한 공격이 증가함에 따라, Microsoft는 외부 발신자 경고, 의심스러운 봇의 자동 대기실 배치 등 보안 기능을 강화하고 있다. 최근에는 금융 및 의료기관을 대상으로 한 유사 공격에서 Quick Assist 세션을 유도해 A0Backdoor 악성코드를 배포한 사례도 보고되었다. 이에 따라 기업 보안팀은 SIEM 및 EDR 규칙을 점검하고, 침해 시뮬레이션을 통해 탐지 체계를 강화할 필요가 있다.

요약

  • 해커들이 Microsoft Teams 음성 통화와 피싱 이메일을 결합해 EtherRAT 악성코드를 유포하고 있다.
  • 공격자는 IT 지원 직원을 사칭해 피해자로 하여금 원격 제어를 허용하게 만든다.
  • EtherRAT은 Node.js 기반 트로이 목마로, 시스템 제어와 데이터 탈취가 가능하다.
  • Microsoft는 Teams 보안 기능을 강화해 외부 위협에 대응하고 있다.
  • 기업은 탐지 체계 점검과 보안 시뮬레이션을 통해 대응력을 높여야 한다.

Reference

https://www.bleepingcomputer.com/news/security/fake-it-support-calls-on-microsoft-teams-push-etherrat-malware/

※ 이 글은 생성형 AI(gpt4.1)에 의해 요약되었습니다.

LIST