세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
Home > 전체기사
‘로밍 맨티스’, 아시아→유럽·중동 사이버공격 확대
  |  입력 : 2018-05-23 14:01
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
DNS 하이재킹으로 유포, 공격자의 기기 완전 장악 가능
“공격자 강력한 동기 가진 듯... 기기 보안 철저히 해야”


[보안뉴스 오다인 기자] 카스퍼스키랩이 지난달 포착한 신종 공격이 지리적 범위를 빠르게 넓혀가고 있는 것으로 나타났다. 카스퍼스키랩이 ‘로밍 맨티스(Roaming Mantis)’라고 명명한 이 공격은 애초 아시아 지역의 스마트폰을 노렸으나 현재 유럽과 중동 지역으로까지 공격이 확대되고 있다.

▲로밍 맨티스 공격에 대한 카스퍼스키랩 분석 화면[자료=카스퍼스키랩]


로밍 맨티스는 DNS(Domain Name System) 하이재킹 수법으로 유포된다. 공격을 확대하면서 기능도 추가하고 있는데, iOS 기기를 겨냥한 피싱 옵션과 PC 암호화폐 채굴 기능도 추가된 것으로 밝혀졌다.

로밍 맨티스는 크리덴셜 등 이용자 정보를 주로 탈취하는데 공격자가 감염 기기를 완전히 장악할 수 있도록 설계돼 있다. 카스퍼스키랩은 금전적 이득을 목적으로 하는 한국어 또는 중국어 기반의 사이버 범죄 집단이 배후인 것으로 추정하고 있다.

카스퍼스키랩의 분석에 따르면, 로밍 맨티스 공격자는 취약한 라우터를 찾아 보안 기능을 손상시키고, 이 라우터의 DNS 설정을 하이재킹하는 수법으로 악성코드를 퍼뜨린다. 카스퍼스키랩은 이 같은 수법이 간단하지만 매우 효과적이라고 설명했다. 라우터 보안 기능을 손상시킨 방법은 아직 밝혀지지 않았다.

DNS 하이재킹이 성공하면 이용자가 웹사이트에 접근을 시도할 때마다 가짜 웹사이트로 연결된다. ‘검색 기능 개선을 위해 크롬(Chrome)을 최신 버전으로 업데이트하세요’ 같은 허위 메시지가 뜨는데, 이를 클릭할 경우 트로이 목마가 포함된 애플리케이션이 설치되기 시작한다. 해당 애플리케이션에는 ‘facebook.apk’ 또는 ‘chrome.apk’라는 안드로이드 백도어 프로그램이 포함돼 있다.

로밍 맨티스는 감염 기기가 루팅돼 있는지 확인한 뒤 이용자의 커뮤니케이션 또는 검색 활동 전략에 대해 알림 받을 권한을 요청한다. 이와 함게 2단계 인증 크리덴셜 등도 수집하며, 한국에서 널리 쓰이는 모바일 뱅킹 ID 또는 게임 애플리케이션 ID에 대해 검색하기도 한다.

카스퍼스키랩이 초기에 밝혀낸 150여 명의 피해자는 주로 한국, 방글라데시, 일본에 분포돼 있었다. 그러나 해커의 명령 및 제어(C&C) 서버에서 매일 수천 건의 연결이 이뤄지고 있다는 사실도 드러났는데, 이는 훨씬 더 광범위한 공격이 실행되고 있을 가능성을 시사한다. 로밍 맨티스는 발견 당시 한국어, 중국어 간체, 일본어, 영어를 지원하고 있었다.

현재는 폴란드어, 독일어, 아랍어, 불가리아어, 러시아어 등 총 27개 언어가 지원되고 있다. 게다가 악성 코드가 iOS 기기의 존재를 인식할 경우, 애플(Apple) 테마의 피싱 페이지로 이동하는 기능이 추가됐다. 가장 최근에 추가된 기능은 PC 암호화폐 채굴 기능을 갖춘 악성 웹사이트다. 카스퍼스키랩에 따르면, 매우 광범위한 공격이 최소 한 차례 이상 진행된 것으로 보이며, 며칠 사이 카스퍼스키랩 고객 100명 이상이 이 공격을 받았다.

카스퍼스키랩코리아 이창훈 지사장은 “로밍 맨티스 공격자에게 상당히 큰 동기가 있는 것으로 추정되고 이 같은 기세가 쉽게 꺾이지 않을 것으로 보인다”고 경고했다. 그는 “라우터를 감염시키고 DNS를 하이재킹하는 수법을 쓰기 때문에 기기 보호를 철저히 하고 불특정 와이파이 사용 시 VPN 기능을 반드시 활용해야 할 것“이라고 권고했다.

로밍 맨티스 공격으로부터 인터넷 연결을 보호하기 위한 조치들은 아래와 같다.
1) 라우터의 이용자 매뉴얼을 참조해 DNS 설정이 무단 변경되지 않았는지 확인하거나 ISP에 문의하여 도움을 받는다.
2) 라우터의 관리자 웹 인터페이스에서 기본 로그인 및 암호 설정을 변경하고 공식 출처를 통해 라우터 펌웨어를 정기적으로 업데이트한다.
3) 라우터 펌웨어는 절대 제조사가 아닌 타사 출처를 통해 설치하지 않는다. 안드로이드 기기의 경우 타사 저장소 이용을 피해야 한다.
4) 브라우저와 웹사이트 주소가 정상적인 주소인지 항상 확인한다. 데이터 입력 요청을 받을 경우 https와 같은 표시가 있는지 확인한다.
[오다인 기자(boan2@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
WD 파워비즈 2017-0305 시작비츠코리아 파워비즈시작 2017년7월3일
설문조사
벌써 2018년 상반기가 마무리되는 시점입니다. 올해 상반기 가장 큰 보안이슈는 무엇이라고 보시나요?
유럽발 일반 개인정보보호법(GDPR) 시행 공포
스펙터와 멜트다운으로 촉발된 CPU 취약점
한반도 정세 급변에 따른 정보탈취 등 사이버전 격화
블록체인 열풍에 따른 스마트 계약 등 다양한 보안이슈 부상
최신 취약점 탑재한 랜섬웨어의 잇따른 귀환
국가기간시설 위험! ICS/SCADA 해킹 우려 증가
기타(댓글로)