세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
[긴급] 한국 겨냥한 ‘유보트RAT’ 전파 중
  |  입력 : 2017-12-01 19:06
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
팔로알토네트웍스, 한국 이용자 노린 RAT 돌고 있다고 경고
‘2017년 연봉인상’, ‘Project W’ 등 파일 발견 시 각별히 주의


[보안뉴스 오다인 기자] 한국을 겨냥해 특수 제작된 원격 접근 트로이목마(RAT) ‘유보트RAT(UBoatRAT)’가 돌고 있어 인터넷 이용자들의 주의가 요구된다. 유보트RAT는 ‘2017년 연봉인상 문의 사항관련 피드백 조사.exe’ 또는 ‘2017년 연봉인상 문의 사항관련 피드백 전달.exe’ 등의 한국어명으로 된 파일을 통해 전파되고 있다.

[이미지=iclickart]


28일 보안 업체 팔로알토네트웍스(Palo Alto Networks)는 2017년 5월 최초 발견된 이래 여러 가지 변종으로 나타났던 유보트RAT이 새로운 모습으로 다시 출현했다고 밝혔다. 팔로알토네트웍스는 이번에 나타난 유보트RAT이 한국 사람이나 한국 조직, 또는 비디오 게임 산업을 겨냥하고 있다면서, 전달에 사용되는 파일 제목들이 한국어로 쓰여 있다고 설명했다.

팔로알토네트웍스가 식별한 유보트RAT 관련 파일들은 △2017년 연봉인상 문의 사항관련 피드백 조사.exe △2017년 연봉인상 문의 사항관련 피드백 전달.exe △[사업]roykim’s_resumeexe △[Project W]Gravity business cooperation.exe 등의 제목으로 전파되고 있다. ‘Project W’는 출시를 앞두고 있는 한국의 게임 제목이며, ‘Gravity’ 역시 한국의 게임회사 이름이다.

이들 연구진에 따르면, 이용자가 유보트RAT 파일을 일단 실행시키고 나면 이 멀웨어는 해당 기기에서 △VMWare △VirtualBox △QEmu 같은 가상화 소프트웨어가 탐지되는지 또는 네트워크 파라미터로부터 도메인명을 확보할 수 있는지 확인한다. 두 가지 조건이 갖춰져 있지 않으면 가짜 오류 메시지를 띄우고 공격을 중단하지만, 둘 중 하나라도 조건이 되면 ‘C:\programdata\svchost.exe’라고 복제한 뒤 ‘C:\programdata\init.bat’을 생성하고, 이 배치 파일을 실행시킨다.

팔로알토네트웍스는 유보트RAT이 마이크로소프트 윈도우즈의 기기 간 파일 전송 서비스인 BITS(Background Inteliigent Transfer Service)를 이용해서 감염 기기에 지속적으로 존속할 수 있다고 지적했다. 유보트RAT에 감염된 컴퓨터는 BITS로 인해 재부팅 이후에도 유보트RAT을 계속 실행시킨다고 연구진은 설명했다.

유보트RAT 공격자는 C&C 주소와 대상 포트(destination port)를 깃허브(Github) 파일 안에 숨겨둔 상태이며, 특정 URL(https://raw.githubusercontent[.]com/r1ng/news/master/README.md)을 이용해 이 파일에 접근하고 있다.

팔로알토네트웍스는 유보트RAT의 통신 과정에서 ‘Rudeltaktik’이라는 용어가 발견됐다고 밝혔는데, 이는 2차 세계대전 당시 독일 해군의 잠수함 작전을 가리킨다. 또한, 유보트RAT 공격자들은 자신들이 제작한 RAT을 유보트-서버(UBoat-Server)라고 명명하기도 했다. 팔로알토네트웍스는 유보트RAT 공격자들이 깃허브 계정 ‘elsa999’를 사용하고 있으며 이 계정이 여러 번 업데이트된 것을 확인했다고 말했다.
[오다인 기자(boan2@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>



비츠코리아 파워비즈시작 2017년7월3일파워비즈 배너
설문조사
2017년은 3분기까지 침해사고 수가 2016년 전체 침해사고 수를 앞지르는 등 급증하는 침해사고로 신기록을 세운 해입니다. 지난 한 해 동안 발생한 침해사고 중 가장 심각한 유형은 무엇이라고 생각하시나요?
기업의 개인정보 및 신용정보 유출 ex) 에퀴팩스 사태
한국을 겨냥한 북한의 사이버 공격 ex) 하나투어 등
가상(암호)화폐 탈취 위한 사이버 공격 ex) 거래소 해킹, 피싱 이메일 등
대규모 랜섬웨어 공격 ex) 워너크라이, 낫페트야
공공 클라우드 설정 오류 및 보안 미비로 인한 사고 ex) AWS, 구글 그룹스
사물인터넷 보안 미비로 인한 침해사고 ex) IP 카메라 해킹
기타(댓글로)