DEEP DIVE REPORT

CVE-2026-8398: Daemon Tools Lite 악성 코드 삽입 취약점 분석

SecurityDesk
2026.05.30 조회 9

Daemon Tools Lite 악성 코드 삽입 취약점 분석

서론

2026년 4월 8일부터 5월 5일까지 약 한 달 동안 널리 사용되는 디스크 이미지 마운팅 도구인 Daemon Tools Lite의 공식 설치 패키지가 악성 코드로 수정되어 배포된 사실이 확인되었습니다. 이번 공급망 공격은 공급업체의 빌드 및 배포 인프라에 침투하여 정식 코드 서명 인증서로 서명된 악성 설치 파일을 유출한 것으로, 100개 이상의 국가에서 수천 대의 시스템이 영향을 받은 것으로 파악되었습니다. 이 취약점은 CISA의 Known Exploited Vulnerabilities Catalog에 등록되었으며, 연방 민간 기관은 2026년 5월 30일까지 완화 조치를 적용하도록 통지받았습니다.

본론

취약점 개요

  • CVE 식별자: CVE-2026-8398
  • 영향 제품: Daemon Tools Lite for Windows
  • 영향 버전: 12.5.0.2421 ~ 12.5.0.2434
  • 취약점 유형: 공급망 공격 (Supply Chain Attack) - 악성 코드 삽입
  • CWE: CWE-506 (Embedded Malicious Code)
  • CISA 등록일: 2026년 5월 27일
  • 대응 기한: 2026년 5월 30일
  • CVSS 점수: CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N (비공식, Kaspersky 제공)

공격 조건

  1. 영향을 받는 버전(12.5.0.2421 ~ 12.5.0.2434)의 Daemon Tools Lite 설치
  2. 공격 기간(2026년 4월 8일 ~ 5월 5일) 동안 daemon-tools.cc 공식 웹사이트에서 설치 파일 다운로드
  3. 시스템 시작 시 DTHelper.exe, DiscSoftBusServiceLite.exe, DTShellHlp.exe 중 하나 이상의 프로세스 실행

영향 범위

피해 규모

  • 100개 이상 국가에서 수천 대의 시스템 감염 추정
  • 피해자 국가 상위권: 러시아, 브라질, 터키, 스페인, 독일, 프랑스, 이탈리아, 중국
  • 약 10%의 감염된 시스템이 기업 및 기관 환경

피해 기관 유형

  • 소매업
  • 과학 연구소
  • 정부 기관
  • 제조업
  • 교육 기관 (러시아 내 1개 기관에서 QUIC RAT 확인)

악용 가능성

1단계: 초기 접근

감염된 설치 파일이 시스템에 설치되면, 세 개의 이진 파일(DTHelper.exe, DiscSoftBusServiceLite.exe, DTShellHlp.exe)에 백도어가 포함됩니다. 이 파일들은 공급업체의 정식 코드 서명 인증서로 서명되어 있어 신뢰할 수 있는 것으로 간주됩니다.

2단계: 정보 수집

백도어가 활성화되면 다음 정보를 수집하여 C2 서버로 전송합니다:
- MAC 주소 (첫 번째 0이 아닌 주소)
- 호스트네임
- DNS 도메인 이름
- 실행 중인 프로세스 목록
- 설치된 소프트웨어 목록
- 시스템 로케일

수집된 정보는 POST 요청을 통해 http://38.180.107.76/09505aca4f538bd로 전송됩니다.

3단계: 추가 페이로드 배포 (표적 공격)

수집된 정보를 분석하여 약 12개의 시스템에 대해 더 정교한 백도어를 배포합니다. 이는 공격자가 특정 조건(예: 기업 환경, 특정 소프트웨어 설치 여부 등)을 갖춘 시스템을 선별적으로 공격함을 의미합니다.

배포된 백도어 유형:
- 최소화된 백도어: HTTP를 통해 하트비트 요청을 전송하며, 원격 명령 실행, 파일 다운로드, 이모지 솔코드 실행 기능 포함
- QUIC RAT: HTTP, UDP, TCP, WSS, QUIC, DNS, HTTP/3 등 다양한 프로토콜을 지원하는 고급 백도어로, notepad.exe 및 conhost.exe 프로세스에 페이로드를 인젝션하는 기능 포함

공격자 특징

  • 악성 코드 내 중국어 문자열 발견 (정보 수집 페이로드)
  • C2 서버 도메인(env-check.daemontools[.]cc)이 합법적인 도메인(daemon-tools.cc)과 유사한 타이포스쿼팅 기법 사용
  • 악성 도메인 등록일: 2026년 3월 27일 (공격 시작일 약 2주 전)

대응 방안

즉시 대응 (24시간 이내)

  1. 감염 여부 확인
  2. Daemon Tools Lite 버전 확인 (12.5.0.2421 ~ 12.5.0.2434 설치 여부)
  3. 설치 일자 확인 (2026년 4월 8일 ~ 5월 5일 사이 설치 여부)
  4. 시스템 로그 및 엔드포인트 탐지 솔루션에서 의심스러운 활동 탐지:

    • C:\Program Files\DAEMON Tools Lite 경로의 수정된 이진 파일 (DTHelper.exe, DiscSoftBusServiceLite.exe, DTShellHlp.exe)
    • PowerShell WebClient.DownloadFile을 통한 파일 다운로드 시도
    • env-check.daemontools[.]cc 또는 38.180.107.76으로의 연결 시도
    • %TEMP% 또는 %ProgramData% 디렉토리의 악성 실행 파일 (예: envchk.exe, cdg.exe, mcrypto.dat)
  5. 시스템 격리

  6. 감염 의심 시스템 즉시 네트워크 분리
  7. 중요 데이터 백업 확인

단기 대응 (72시간 이내)

  1. 악성 설치 파일 제거
  2. 영향을 받는 버전의 Daemon Tools Lite 삭제
  3. 신뢰할 수 있는 보안 솔루션으로 전체 시스템 스캔 수행

  4. 정식 버전 재설치

  5. 공식 웹사이트(daemon-tools.cc)에서 최신 버전(12.6.0.2445 이상) 다운로드
  6. 최신 버전 설치 후 악성 흔적이 없는지 확인

  7. 네트워크 차단

  8. 방화벽에서 C2 서버 차단:
    • env-check.daemontools[.]cc
    • 38.180.107.76
  9. DNS 레벨 차단 구현 (DNS Sinkhole 권한 구성)

  10. 취약한 계정 점검

  11. 감염 시스템에서 접근한 계정의 자격 증명 로테이션
  12. 동일 계정으로 접근한 다른 시스템 점검

장기 대응 (1주 이내)

  1. 보안 정책 강화
  2. 소프트웨어 설치 정책 검토:
    • 필요한 소프트웨어만 허용하는 화이트리스트 정책 적용
    • 신뢰할 수 있는 공급업체의 소프트웨어만 사용
  3. 코드 서명 검증 정책 강화:

    • 알 수 없거나 만료된 인증서로 서명된 파일 실행 차단
    • 신뢰할 수 있는 인증 기관의 인증서만 허용
  4. 공급망 보안 강화

  5. 소프트웨어 공급업체의 보안 현황 주기적 평가
  6. 소프트웨어 업데이트 및 설치 파일의 서명 확인 절차 도입:

    • 공급업체가 공개한 해시값과 비교
    • VirusTotal 또는 기타 샌드박스 솔루션에서 검사
  7. 엔드포인트 탐지 및 대응(EDR) 강화

  8. PowerShell 악의적 사용 탐지 규칙 구현:
    • WebClient.DownloadFile을 통한 의심스러운 파일 다운로드
    • AMSI(Antimalware Scan Interface) 우회 시도 탐지
  9. 프로세스 인젝션 탐지:
    • %TEMP%, %AppData%, %Public% 디렉토리에서 실행되는 파일의 프로세스 인젝션 탐지
    • 이상한 부모-자식 프로세스 관계 탐지 (예: svchost.exe가 svchost.exe 또는 services.exe가 아닌 부모를 갖는 경우)
  10. 네트워크 탐지:

    • 알려진 C2 서버로의 연결 시도 탐지
    • 의심스러운 하트비트 요청 탐지
  11. 직원 교육

  12. 소프트웨어 다운로드 시 주의 사항 교육:

    • 공식 웹사이트에서만 다운로드
    • 이상한 도메인 이름(예: daemon-tools.cc vs env-check.daemontools.cc) 확인
    • 설치 파일의 서명 확인 방법 교육
  13. 모니터링 및 분석

  14. SIEM 규칙 구현 (예: Kaspersky SIEM):
    • R110_03_PowerShell code downloaded and executed
    • R110_05_Use of suspicious options in PowerShell commands
    • R293_01_Anomalous process tree for Windows
  15. 이벤트 로그 수집:
    • Event ID 4688 (Security): 새 프로세스 생성
    • Event ID 4104 (PowerShell): PowerShell 스크립트 블록 로깅

결론

Daemon Tools Lite 악성 코드 삽입 사건은 널리 사용되는 유틸리티 소프트웨어의 공급망을 이용한 정교한 표적 공격입니다. 이번 공격의 핵심 특징은 정식 코드 서명 인증서를 사용하여 사용자와 보안 솔루션을 속았다는 점, 그리고 감염된 시스템 중 일부에만 고급 백도어를 배포하여 공격을 은폐했다는 점입니다.

2026년에만 이미 eScan, Notepad++, CPU-Z, Daemon Tools 등 널리 사용되는 소프트웨어에서 공급망 공격이 연이어 발생하고 있습니다. 이는 널리 사용되고 신뢰할 수 있는 응용 프로그램이 공격자에게 매우 매력적인 공격 벡터임을 시사합니다.

국내 기업 및 기관은 소프트웨어 설치 및 업데이트 프로세스를 재검토하고, 코드 서명 검증, 해시 확인, 정기적인 보안 스캔 등의 절차를 도입하여 공급망 공격에 대비해야 합니다. 또한, 네트워크 및 엔드포인트 모니터링을 강화하여 의심스러운 활동을 조기에 탐지할 수 있도록 해야 합니다.

참고자료

  1. NVD - CVE-2026-8398
    https://nvd.nist.gov/vuln/detail/CVE-2026-8398

  2. CISA Known Exploited Vulnerabilities Catalog
    https://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2026-8398

  3. Kaspersky Securelist - Popular DAEMON Tools software compromised
    https://securelist.com/daemon-tools-backdoor/119654/

  4. Daemon Tools Security Incident
    https://blog.daemon-tools.cc/post/security-incident

  5. Kaspersky Threat Intelligence Portal - Malicious Daemon Tools Lite Installers
    https://opentip.kaspersky.com/9ccd769624de98eeeb12714ff1707ec4f5bf196d/results


본 컨텐츠는 AI 기술로 생성된 분석 리포트를 포함하고 있습니다. 내용 중 사실과 다르거나 보완이 필요한 정보를 발견하시시면 댓글을 통해 소중한 의견 부탁드립니다. 여러분의 피드백은 더 정확한 보안 정보 공유에 큰 도움이 됩니다.

댓글 (0)

댓글을 작성하려면 로그인이 필요합니다.

로그인

아직 댓글이 없습니다.

첫 번째 댓글을 작성해보세요!

IT 도구 서랍

→ Unix: 2025-01-15T09:30:00
→ 날짜: 1736934600

→ ASCII: ABC
→ 문자: 65 66 67

ASCII 코드표 — 클릭하면 입력란에 추가

DecHex약어설명
DecHex문자
DecHex문자

→ 유니코드: 홍길동
→ 문자: \ud64d\uae38\ub3d9