[3.20 전산망 사이버테러] 악성코드, 어떤 과정 거쳐 피해 입혔나?

NSHC의 Red Alert팀, 5차례에 걸친 상세 분석보고서로 주목

[보안뉴스 권 준] 3.20 전산망 사이버테러에 사용된 악성코드와 공격기법에 대한 다양한 보고서가 발표돼 향후 유사 사건 대응에 많은 참고가 될 것으로 보인다.

그 가운데서도 NSHC(대표 허영일)의 Red Alert팀에서는 5차 업데이트를 거치며 보다 상세한 사고 분석보고서를 발표해 주목을 받고 있다.

22일 11시 37분에 발표된 5차 분석보고서에 따르면 추가로 확인된 vit-rescan.exe는 드로퍼(Dropper)로 Unix/Linux 계열의 시스템을 삭제하기 위한 쉘 스크립트 명령어가 윈도우 시스템을 삭제하기 위한 악성코드로 구성되어 있는 것으로 나타났다.

Red Alert팀에 따르면 이번 사이버테러에 사용된 악성코드는 총 4종으로 실제 피해 입은 PC에서 추출한 파일로 분석한 AmAgent.exe를 제외하고는 파일 무결성 훼손으로 생성시간, 수정한 시간, 실행한 시간 등을 확인할 수 없는 것으로 나타났다. 이번 공격에 활용된 4종의 악성코드 정보는 다음과 같다.

특히, 이번 5차 보고서에서는 이번에 추가로 확인된 드로퍼(Dropper)를 비롯한 악성코드들의 동작 개요를 상세히 설명했다.

▲ 드로퍼(Dropper) 동작 개요

▲ 악성코드(ApcRunCmd.exe, AmAgent.exe) 동작 개요

Red Alert팀 관계자는 “이번 악성코드에 따른 추가 피해를 예방하기 위해서는 KISA 보호나라나 백신 업체 홈페이지를 통해 전용 백신을 다운로드 받아야 한다”며, “피해 시스템의 복구는 수동으로 진행해야 하는 만큼 시스템 복구 문의는 NSHC에 해줄 것”을 당부했다.

[권 준 기자(editor@boannews.com)]

내년 회사에 꼭 도입하고 싶은 보안 솔루션 또는 플랫폼은 무엇인가요?
	XDR
	EDR
	AI 보안
	제로트러스트
	공급망 보안 체계(SBOM)
	클라우드 보안 솔루션
	기타(댓글로)