사우디아라비아 정유업체 공격한 ‘Disttrack’ 악성코드 발견

내부정보 유출 없이 시스템 파괴 기능만 가지고 있는 점이 특징

[보안뉴스 김태형] 안랩 시큐리티대응센터(이하 ASEC)에서는 지난 8월 15일에 공개된 외국 언론 ‘Saudi Aramco says virus shuts down its computer network’을 통해 사우디아라비아의 정유업체인 Saudi Aramco에 특정 악성코드에 의한 피해가 발생했다는 것을 확인했다고 밝혔다.

추가적으로 ASEC에서 관련 보안위협에 대한 정보들을 확인하는 과정에서 시만텍(Symantec)에서 ‘The Shamoon Attacks’로 명명한 보안위협과 관련되었음을 파악했다.

Shamoon 보안위협과 관련된 악성코드는 Disttrack로 명명되었으며 크게 3가지 기능을 가진 악성코드들이 모듈 형태로 동작하도록 설계되어 있다.

·드로퍼(Dropper): 다른 기능들을 수행하는 악성코드들을 생성하는 메인 악성코드

·와이퍼(Wiper): 실질적인 MBR(Master Boot Record)를 파괴 기능을 수행하는 악성코드

·리포터(Reporter): 공격자가에게 감염된 시스템의 현황을 보고 기능을 수행하는 악성코드

해당 Disttrack는 관리 목적의 공유 폴더인 ADMIN$, C$, D$와 E$ 를 통해 네트워크에 이웃한 시스템으로 자신의 복사본을 전송하여 생성하게 된다.

그리고 감염된 시스템에 존재하는 JPEG 파일을 임이의 데이터로 덮어씀으로 이미지 파일을 정상적으로 사용하지 못하게 한다. 이와 함께 감염된 시스템의 MBR을 파괴하여 시스템의 정상적인 부팅과 사용을 방해하게 된다.

Shamoon 보안 위협과 관련된 악성코드는 Disttrack로 명명된 악성코드는 V3 제품군에서 모두 다음과 같이 진단한다.

·Win-Trojan/Disttrack.989184

·Win-Trojan/Disttrack.133120

·Win-Trojan/Disttrack.27280 

·Win-Trojan/Disttrack.989184.B

·Win-Trojan/Disttrack.194048

·Win-Trojan/Disttrack.31632 

·Win-Trojan/Disttrack.532992

·Win-Trojan/Disttrack.227840

·Win-Trojan/Disttrack.155136

ASEC는 “현재 해당  Disttrack 악성코드가 계획적으로 정유 업체들을 대상으로 공격했는지에 대해서는 명확하지 않은 상황이다. 그러나 일반적인 타깃 공격(Targeted Attack)과 다르게 내부정보 유출 없이 시스템 파괴 기능만 가지고 있다는 점은 특이 사항으로 볼 수 있다”고 밝혔다.

[김태형 기자(boan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>

• “
•  SNS에서도 보안뉴스를 받아보세요!! 
• ”

• 조회순
• 추천순
• 스크랩순

• 1

  배블로더, 그리 획기적이지 않은 기술을 매우...

• 2

  최근 페이스북에서 유행하는 멀버타이징 캠페인...

• 3

  [한 주를 관통하는 보안 소식] 2024년 ...

• 4

  [긴급] 국세청 등 정부 사칭 미끼 문자와 ...

• 5

  [퀴즈 이·보·소] 연말 앞둔 온라인 사기,...

• 1

  [개인정보 보호법 해석 사례-④] 인사·노무...

• 2

  악명 높은 봇넷 엔지오웹, 각종 범죄 인프라...

• 3

  [정보세계정치학회 칼럼] 데이터·공급망 안보...

• 4

  북한 IT노동자, 가짜 이력서로 서방국 취업...

• 5

  연말시즌, 해커도 성수기... 해커들이 만든...

• 1

  사이버 공격자들, 실제로 인공지능을 어떻게 ...

• 2

  580억원 상당의 가상자산 탈취사건, 북한 ...

• 3

  개인정보 유출 사고 대응방안 논의... 공공...

• 4

  인류를 위한 인공지능 거버넌스, 어떤 제안 ...

• 5

  깃허브에서 활동하는 개발자들을 노리는 고급 ...