[오늘의 보안] 세금 관련 검색 광고를 통한 ScreenConnect 멀웨어 유포

<3줄 요약>

2026년 1월부터 활동 중인 대규모 악성 광고 캠페인이 구글 광고를 악용하여 세금 서식 검색 사용자를 속이고, ConnectWise ScreenConnect의 위조 설치 프로그램을 배포하여 60개 이상의 악성 세션을 확인했다.

HwAudKiller라는 EDR 킬러 도구를 배포하며, BYOVD(bring your own vulnerable driver) 기법을 통해 합법적으로 서명된 Huawei 오디오 드라이버(HWAuidoOs2Ec.sys)를 악용하여 커널 모드서 Microsoft Defender, Kaspersky, SentinelOne 등 보안 솔루션을 강제 종료한다.

Adspect와 JustCloakIt 등 상업용 클로킹 서비스를 이중으로 활용하여 보안 스캐너를 우회하고, FleetDeck 에이전트 같은 추가 RMM 도구를 배포하여 지속적 원격 접근을 확보하며, 러시아어 주석 발견으로 러시아계 공격자로 추정된다.

<용어 설명>

ScreenConnect(ConnectWise Control): 정상적인 원격 접근 및 지원 도구로, 공격자가 악용하여 시스템 제어에 사용할 수 있다.

Malvertising(악성 광고): 정당한 광고 네트워크(Google Ads 등)를 악용하여 악성 콘텐츠를 배포하는 공격 기법이다.

BYOVD(Bring Your Own Vulnerable Driver): 합법적이지만 취약점이 있는 드라이버를 악용하여 시스템 보안을 우회하는 기법이다.

EDR 킬러(EDR Killer): 엔드포인트 탐지 및 대응(EDR) 솔루션을 무력화하는 악성 프로그램이다.

HwAudKiller: 이번 캠페인에서 사용되는 EDR 킬러로, Huawei 커널 드라이버를 악용하여 보안 프로세스를 강제 종료한다.

Traffic Distribution System(TDS): 방문자의 특성을 분석하여 다양한 콘텐츠를 서빙하는 시스템으로, 보안 스캐너 우회에 악용된다.

클로킹 서비스(Cloaking Service): 접속자의 정보를 분석하여 악성 페이지를 숨기고 정상 페이지를 표시하는 서비스(Adspect, JustCloakIt 등)다.

RMM 도구(Remote Monitoring and Management): FleetDeck 에이전트 같이 원격으로 시스템을 모니터링하고 관리하는 정상 도구로, 공격자가 악용할 수 있다.

LSASS(Local Security Authority Subsystem Service): Windows 시스템의 보안 정책과 자격증명을 관리하는 프로세스로, 공격자가 자격증명 탈취 대상으로 삼는다.

Driver Signature Enforcement(DSE): Windows가 서명되지 않은 드라이버 로드를 거부하는 보안 기능이지만, 합법적으로 서명된 취약 드라이버는 로드된다.

<출처>

https://thehackernews.com/2026/03/tax-search-ads-deliver-screenconnect.html

Tax Search Ads Deliver ScreenConnect Malware Using Huawei Driver to Disable EDR

 

<한글 버전>

2026년 1월부터 활동 중인 대규모 악성 광고 캠페인이 미국 기반 세금 관련 서식을 검색하는 개인들을 대상으로 하여 ConnectWise ScreenConnect의 위조 설치 프로그램을 제공하고, bring your own vulnerable driver(BYOVD) 기법을 사용하여 HwAudKiller라는 도구를 배포하여 보안 프로그램을 무력화하는 것으로 관찰되었습니다.

"이 캠페인은 Google 광고를 악용하여 위조 ScreenConnect(ConnectWise Control) 설치 프로그램을 제공하며, 궁극적으로 보안 도구를 무력화하기 위한 커널 드라이버를 배포하는 BYOVD EDR 킬러를 전달합니다"라고 Huntress 연구원 Anna Pham이 지난주 발표한 보고서에서 말했습니다.

사이버보안 공급업체는 이 캠페인과 연결된 위조 ScreenConnect 세션 60개 이상을 식별했다고 말했습니다. 공격 체인은 여러 가지 이유로 두드러집니다. Microsoft가 강조한 최근 캠페인과 달리 세금 테마의 루어를 활용하는 것과 달리, 새로 표시된 활동은 상업용 클로킹 서비스를 사용하여 보안 스캐너로부터의 탐지를 회피하고 보안 솔루션을 무장해제하기 위해 이전에 문서화되지 않은 Huawei 오디오 드라이버를 악용합니다.

이 캠페인의 정확한 목표는 현재 명확하지 않습니다. 그러나 한 경우에 위협 행위자가 액세스를 활용하여 엔드포인트 탐지 및 대응(EDR) 킬러를 배포한 다음 로컬 보안 기관 하위 시스템 서비스(LSASS) 프로세스 메모리에서 자격증명을 덤프하고 네트워크 정찰 및 횡적 이동을 위해 NetExec과 같은 도구를 사용한 것으로 알려져 있습니다.

이러한 전술은 Huntress에 따르면 사전 랜섬웨어 또는 초기 액세스 브로커 행동과 일치하며, 위협 행위자가 랜섬웨어를 배포하거나 액세스를 다른 범죄 행위자에게 판매하여 수익을 창출하려고 하고 있음을 시사합니다.

공격은 사용자가 Google 같은 검색 엔진에서 "W2 tax form" 또는 "W-9 Tax Forms 2026" 같은 용어를 검색할 때 시작되어, 사용자를 "bringetax[.]com/humu/" 같은 거짓 사이트로 유도하는 후원 검색 결과를 클릭하도록 속이고, ScreenConnect 설치 프로그램의 전달을 트리거합니다.

더욱이 랜딩 페이지는 상업용 클로킹 서비스인 Adspect로 구동되는 PHP 기반 Traffic Distribution System(TDS)으로 보호되어 있으며, 보안 스캐너 및 광고 검토 시스템에는 양성 페이지가 제공되는 한편, 실제 피해자만 실제 페이로드를 봅니다.

이는 사이트 방문자의 지문을 생성하고 이를 Adspect 백엔드로 전송하여 적절한 응답을 결정함으로써 달성됩니다. Adspect 외에도 랜딩 페이지의 "index.php"는 JustCloakIt(JCI)으로 구동되는 두 번째 클로킹 레이어 서버 측을 특징으로 합니다.

"두 클로킹 서비스는 동일한 index.php에 스택되어 있습니다. JCI의 서버 측 필터링이 먼저 실행되고 Adspect는 두 번째 레이어로 클라이언트 측 JavaScript 핑거프린팅을 제공합니다"라고 Pham이 설명했습니다.

웹 페이지는 ScreenConnect 설치 프로그램의 배포로 이어지며, 이는 손상된 호스트에 여러 평가판 인스턴스를 배포하는 데 사용됩니다. 위협 행위자는 또한 redundancy를 위해 FleetDeck Agent와 같은 추가 원격 모니터링 및 관리(RMM) 도구를 배포하는 것으로 발견되었으며, 지속적인 원격 액세스를 보장합니다.

ScreenConnect 세션은 BYOVD 기법을 사용하여 Microsoft Defender, Kaspersky 및 SentinelOne과 관련된 프로세스를 종료하는 HwAudKiller라는 별명의 EDR 킬러에 대한 다단계 암호화기를 배포하는 데 사용됩니다. 공격에 사용되는 취약 드라이버는 "HWAuidoOs2Ec.sys"로, 노트북 오디오 하드웨어용으로 설계된 합법적이고 서명된 Huawei 커널 드라이버입니다.

"드라이버는 커널 모드에서 대상 프로세스를 종료하여 보안 제품이 의존하는 모든 사용자 모드 보호를 우회합니다. 드라이버가 Huawei에 의해 합법적으로 서명되었기 때문에 Windows는 Driver Signature Enforcement(DSE)에도 불구하고 이를 로드합니다"라고 Huntress가 지적했습니다.

암호화기는 2GB의 메모리를 할당하고 0으로 채운 다음 해제하여 감지를 회피하려고 시도하며, 효과적으로 높은 리소스 할당으로 인해 바이러스 백신 엔진 및 에뮬레이터가 실패하도록 합니다.

현재 캠페인 뒤에 있는 사람은 알려지지 않았지만, 위협 행위자가 제어하는 인프라의 노출된 개방 디렉토리는 러시아어 주석이 포함된 JavaScript 코드를 포함하는 가짜 Chrome 업데이트 페이지를 밝혀냈습니다. 이는 멀웨어 배포를 위한 소셜 엔지니어링 툴킷을 소유한 러시아어 사용 개발자를 암시합니다.

"이 캠페인은 상용 도구가 정교한 공격의 장벽을 어떻게 낮추었는지 보여줍니다"라고 Pham이 말했습니다. "위협 행위자는 사용자 정의 악용이나 국가 차원의 기능이 필요하지 않았습니다. 그들은 상업적으로 사용 가능한 클로킹 서비스(Adspect 및 JustCloakIt), 무료 계층 ScreenConnect 인스턴스, 기성 암호화기 및 취약점이 있는 서명된 Huawei 드라이버를 결합하여 Google 검색에서 커널 모드 EDR 종료까지 가는 end-to-end kill chain을 구축했습니다."

"손상된 호스트 전반에 걸친 일관된 패턴은 여러 원격 액세스 도구의 빠른 스택이었습니다. 초기 위조 ScreenConnect 릴레이가 설정된 후 위협 행위자는 동일한 끝점에 추가 평가판 ScreenConnect 인스턴스를 배포했으며, 때로는 몇 시간 내에 2개 또는 3개, 그리고 FleetDeck과 같은 백업 RMM 도구를 배포했습니다."

<원문>

A large-scale malvertising campaign active since January 2026 has been observed targeting U.S.-based individuals searching for tax-related documents to serve rogue installers for ConnectWise ScreenConnect that drop a tool named HwAudKiller to blind security programs using the bring your own vulnerable driver (BYOVD) technique.

"The campaign abuses Google Ads to serve rogue ScreenConnect (ConnectWise Control) installers, ultimately delivering a BYOVD EDR killer that drops a kernel driver to blind security tools before further compromise," Huntress researcher Anna Pham said in a report published last week.

The cybersecurity vendor said it identified over 60 instances of malicious ScreenConnect sessions tied to the campaign. The attack chain stands out for a couple of reasons. Unlike recent campaigns highlighted by Microsoft that leverage tax-themed lures, the newly flagged activity employs commercial cloaking services to avoid detection by security scanners and abuses a previously undocumented Huawei audio driver to disarm security solutions.

Cybersecurity The exact objectives of the campaign are currently not clear; however, in at one instance, the threat actor is said to have leveraged the access to deploy the endpoint detection and response (EDR) killer and then dump credentials from the Local Security Authority Subsystem Service (LSASS) process memory, as well as use tools like NetExec for network reconnaissance and lateral movement.

These tactics, per Huntress, align with pre-ransomware or initial access broker behavior, suggesting that the threat actor is looking to either deploy ransomware or monetize the access by selling it to other criminal actors.

The attack begins when users search for terms like "W2 tax form" or "W-9 Tax Forms 2026" on search engines like Google, tricking them into clicking on sponsored search results that direct users to bogus sites like "bringetax[.]com/humu/" to trigger the delivery of the ScreenConnect installer.

What's more, the landing page is protected by a PHP-based Traffic Distribution System (TDS) powered by Adspect, a commercial cloaking service, to ensure that a benign page is served to security scanners and ad review systems, while only real victims see the actual payload.

This is achieved by generating a fingerprint of the site visitor and sending it to the Adspect backend, which then determines the appropriate response. In addition to Adspect, the landing page's "index.php" features a second cloaking layer powered by JustCloakIt (JCI) on the server side.

"The two cloaking services are stacked in the same index.php—JCI's server-side filtering runs first, while Adspect provides client-side JavaScript fingerprinting as a second layer," Pham explained.

The web pages lead to the distribution of ScreenConnect installers, which are then used to deploy multiple trial instances on the compromised host. The threat actor has also been found to drop additional Remote Monitoring and Management (RMM) tools like FleetDeck Agent for redundancy and ensuring persistent remote access.

The ScreenConnect session is leveraged to drop a multi-stage crypter that acts as a conduit for an EDR killer codenamed HwAudKiller that uses the BYOVD technique to terminate processes associated with Microsoft Defender, Kaspersky, and SentinelOne. The vulnerable driver used in the attack is "HWAuidoOs2Ec.sys," a legitimate, signed Huawei kernel driver designed for laptop audio hardware.

"The driver terminates the target process from kernel mode, bypassing any usermode protections that security products rely on. Because the driver is legitimately signed by Huawei, Windows loads it without complaint despite Driver Signature Enforcement (DSE)," Huntress noted.

Cybersecurity The crypter, for its part, attempts to evade detection by allocating 2GB of memory and filling it with zeros, and then freeing it, effectively causing antivirus engines and emulators to fail due to high resource allocation.

It's currently not known who is behind the campaign, but an exposed open directory in the threat actor-controlled infrastructure has revealed a fake Chrome update page containing JavaScript code with Russian-language comments. This alludes to a Russian-speaking developer in possession of a social engineering toolkit for malware distribution.

"This campaign illustrates how commodity tooling has lowered the barrier for sophisticated attacks," Pham said. "The threat actor didn't need custom exploits or nation-state capabilities, they combined commercially available cloaking services (Adspect and JustCloakIt), free-tier ScreenConnect instances, an off-the-shelf crypter, and a signed Huawei driver with an exploitable weakness to build an end-to-end kill chain that goes from a Google search to kernel-mode EDR termination."

"A consistent pattern across compromised hosts was the rapid stacking of multiple remote access tools. After the initial rogue ScreenConnect relay was established, the threat actor deployed additional trial ScreenConnect instances on the same endpoint, sometimes two or three within hours, and backup RMM tools like FleetDeck."