러시아 APT 그룹의 VPN필터, 새 모듈 7개 추가 발견

네트워크 장비 및 스토리지 침해하는 다기능 멀웨어
추가된 7개 모듈로 더 효과적이고 쉬운 멀웨어 증식 가능해져

[보안뉴스 문가용 기자] 시스코의 탈로스 팀이 VPN필터(VPNFilter) 멀웨어의 세 번째 모듈 7개를 추가적으로 발견했다. VPN필터는 2016년부터 우크라이나를 중심으로 세계 여러 곳의 네트워크 장비들을 수만 개 감염시켜온 멀웨어다.

[이미지 = iclickart]

VPN필터를 최초로 제작한 것은, 아직 정확히 알려지지는 않았으나, 업계에서는 대부분 러시아의 APT 그룹인 팬시베어(Fancy Bear)라고 보고 있다. 최근 여러 기관들의 노력으로 VPN필터 공격자들이 사용하고 있는 도메인 하나를 폐쇄시키기도 했지만, VPN필터는 아직도 생생하게 살아있는 사이버 공간의 위협이다.

또한 VPN필터는 디도스 공격, 정보 삭제 및 장비 무력화, 사이버 정찰 등의 기능을 전부 가지고 있다고 알려져 있다. 모듈 구조이기 때문에 다양한 기능을 수행할 수 있다. 그런데 여기에 7가지 기능이 추가로 발견된 것이다. 시스코 팀에 의하면 이 추가 모듈을 통해 공격자들은 네트워크 내에서 보다 쉽게 멀웨어를 증식시킬 수 있게 되고, 데이터 필터링을 할 수 있으며 악성 트래픽의 난독화 및 암호화를 할 수 있다고 한다.

탈로스 팀은 블로그를 통해 “공격자들은 침해된 네트워크와 스토리지 장비들을 활용해 공격에 필요한 모든 공격 행위들을 할 수 있게 되는데, 이는 VPN필터 덕분임이 확실해졌다”고 발표했다. 지난 5월 VPN필터를 제일 처음 발견한 것도 시스코 팀이었다.

이번에 공개된 모듈은 다음과 같다.
1) htpx : 장비들을 통해 전송된 HTTP 트래픽의 내용을 우회시키고 검사한다.
2) ndbr : 다기능 SSH 유틸리티.
3) nm : 침해한 장비로부터 네트워크 매핑을 실시한다.
4) netfilter : DoS 공격 기능.
5) portforwarding : 네트워크 트래픽을 공격자가 지정한 인프라로 포워딩시킬 수 있다.
6) socks5proxy : 침해한 장비 내에 SOCKS5 프록시를 마련한다.
7) tcpvpn : 침해한 징비 내에 리버스-TCP VPN을 마련한다.

또한 탈로스 팀은 마이크로소프트 윈박스(Winbox) 프로토콜용의 해독 툴을 개발했다고 발표했다. VPN필터 공격들이 윈박스 및 그와 관련이 있는 TCP 포트 8291을 악용해 마이크로틱(MikroTik)의 장비들을 공격하고 있었기 때문이다. 이 툴은 네트워크 운영자들에게 무료로 배포되고 있다고 하며, 이를 통해 8291 포트를 통한 악성 트래픽을 발견할 수 있을 것이라고 했다.

이 툴은 깃허브 리포지토리를 통해 열람이 가능하다. 주소는 https://github.com/Cisco-Talos/Winbox_Protocol_Dissector이다.

3줄 요약
1. 지난 5월 처음 발견된 모듈형 네트워크 침해 멀웨어, VPN필터.
2. 네트워크 감염 더 쉽게 해주는 새로운 모듈 7개 등장.
3. 탈로스 팀은 일부 방어 가능하게 해주는 무료 툴 배포 중. 주소는 본문에.
[국제부 문가용 기자(globoan@boannews.com)]

내년 회사에 꼭 도입하고 싶은 보안 솔루션 또는 플랫폼은 무엇인가요?
	XDR
	EDR
	AI 보안
	제로트러스트
	공급망 보안 체계(SBOM)
	클라우드 보안 솔루션
	기타(댓글로)