Á¤»ó ÇÁ·Î¼¼½º¿¡ ¾Ç¼º ÄÚµå ÁÖÀÔÇÏ°í, ÈÉÄ£ Á¤º¸´Â HTTPS·Î Àü¼ÛÇϱâ±îÁö
[º¸¾È´º½º ¹®°¡¿ë ±âÀÚ] ¾Æ½ºÅ¸·Î½º(Astaroth)¶ó´Â Æ®·ÎÀ̸ñ¸¶¸¦ ÆÛÆ®¸®°í ÀÖ´Â ÇÇ½Ì Ä·ÆäÀÎÀÌ ÇÑâ ÁøÇà Áß¿¡ ÀÖ´Ù°í ÇÑ´Ù. ±×·±µ¥ µ¶Æ¯ÇÏ°Ôµµ ÆäÀ̽ººÏ°ú À¯Æ©ºê¸¦ È°¿ëÇÏ´Â Àü·«À» ±¸»çÇÏ°í ÀÖ¾î¼ ´«¿¡ ¶è´Ù. º¸¾È ¾÷ü ÄÚÆ潺(Cofense)°¡ ¹ß°ßÇß´Ù.
[À̹ÌÁö = iclickart]
ÄÚÆ潺ÀÇ º¸¾È Àü¹®°¡ ¾Æ·Ð ¶óÀϸ®(Aaron Riley)¿¡ ÀÇÇÏ¸é °ø°ÝÀÚµéÀº ¸ÕÀú À̸ÞÀÏ¿¡ .HTM ÆÄÀÏÀ» ÷ºÎÇÏ´Â °ÍÀ¸·ÎºÎÅÍ °ø°ÝÀ» ½ÃÀÛÇÑ´Ù°í ÇÑ´Ù. ¡°¸ÞÀÏÀº ¼¼ °¡Áö Å׸¶·Î ³ª´¹´Ï´Ù. Àκ¸À̽º, °ø¿¬ ƼÄÏ, ¹ýÁ¤ ¼Ò¼ÛÀÌ ¹Ù·Î ±×°ÍÀÔ´Ï´Ù.¡±
ÇÇÇØÀÚ°¡ ÷ºÎ ÆÄÀÏÀ» Ŭ¸¯Çϸé HTM ÆÄÀÏÀÌ ¹ßµ¿µÅ .ZIP ÆÄÀÏÀÌ ´Ù¿î·Îµå µÈ´Ù. ¿©±â¿¡´Â ¾Ç¼º .LNK ÆÄÀÏÀÌ Ã·ºÎµÇ¾î ÀÖ°í, ÀÌ .LNK ÆÄÀÏÀº Ŭ¶ó¿ìµåÇ÷¹¾î(Cloudflare)ÀÇ µµ¸ÞÀο¡¼ºÎÅÍ ÀÚ¹Ù½ºÅ©¸³Æ® Äڵ带 ´Ù¿î·Îµå ¹Þ´Â´Ù. ÀÚ¹Ù½ºÅ©¸³Æ®´Â ´Ù¾çÇÑ Á¾·ùÀÇ ÆÄÀÏÀ» ´Ù¿î·Îµå ¹Þ´Â ±â´ÉÀ» °¡Áö°í Àִµ¥, ´ëºÎºÐÀº »ç¿ëÀÚ¸¦ ¼ÓÀ̱â À§ÇÑ °ÍÀÌ°í ¼Ò¼ö¿¡´Â ¾Æ½ºÅ¸·Î½º »ùÇÃÀÌ ½É°ÜÁ® ÀÖ´Ù.
¡°´Ù¿î·Îµå µÈ ¿©·¯ ÆÄÀÏ Áß¿¡ .DLL È®ÀåÀÚ¸¦ °¡Áø ÆÄÀÏÀÌ µÎ °³ ÀÖ¾î¿ä. µÑÀÌ ÇÔ²² Á¤»ó ÇÁ·Î±×·¥ Çϳª¸¦ ºÎä³Î¿¡ ·Îµù½Ãŵ´Ï´Ù. ¡®C:\Program Files\Internet Explorer\ExtExport.exe¡¯¶ó´Â °ÍÀÔ´Ï´Ù. ÀÌ Á¤»ó ÇÁ·Î±×·¥À» »ç¿ëÇØ µÎ ºÎºÐÀ¸·Î ±¸¼ºµÈ ¾Ç¼º Äڵ带 ½ÇÇà½Ãŵ´Ï´Ù. ÀÌ ¾Ç¼º ÄÚµå´Â »ç¶÷µéÀÌ ½Å·ÚÇÏ´Â °÷À¸·ÎºÎÅÍ ´Ù¿î·Îµå µÇ¹Ç·Î ¹é½Å µîÀÇ º¸¾È ÀåÄ¡¸¦ ¿ìȸÇÕ´Ï´Ù.¡±
ExtExport.exe°¡ ¾Ç¼º Äڵ带 ½ÇÇà½ÃŲ ÀÌÈÄ¿¡´Â ¡®ÇÁ·Î¼¼½º ÇÒ·ÎÀ®(process hollowing)¡¯À̶ó´Â ±â¼úÀ» ÅëÇØ Á¤»ó ÇÁ·Î±×·¥À» °¨¿°½ÃÅ°±â ½ÃÀÛÇÑ´Ù. ¡°ÀÌÀü ´Ü°è¿¡¼ ÀÚ¹Ù½ºÅ©¸³Æ®¸¦ ÅëÇØ ¿©·¯ ÆÄÀÏÀÌ ´Ù¿î·Îµå µÆÁÒ? °Å±â¼ ¾Ç¼º Äڵ带 ÃßÃâÇÑ ÈÄ À̸¦ ÇÁ·Î¼¼½º ÇÒ·ÎÀ® ±â¹ýÀ¸·Î Á¤»ó ÇÁ·Î¼¼½º¿¡ »ðÀÔÇÕ´Ï´Ù. ±×·± ÈÄ ¾Ç¼º Äڵ尡 »ðÀÔµÈ Á¤»ó ÇÁ·Î¼¼½º°¡ Á¾·áµÇ¸é, ¾Ç¼º Äڵ尡 »ðÀÔµÈ ÇÁ·Î¼¼½º·Î ´ëüÇÏÁÒ. °Å±â¼ºÎÅÍ´Â ¾Æ½ºÅ¸·Î½º°¡ C&C ä³Î°ú ¿¬°áÀ» ½ÃµµÇÕ´Ï´Ù.¡±
¹Ù·Î ÀÌ ÁöÁ¡¿¡¼ À¯Æ©ºê¿Í ÆäÀ̽ººÏÀÌ È°¿ëµÈ´Ù. ÀÌ µÎ °¡Áö ¼ºñ½ºÀÇ ÇÁ·ÎÆÄÀÏ¿¡ C&C ¿¬°áÀ» À§ÇÑ ¼³Á¤ µ¥ÀÌÅ͸¦ ¼û°ÜµÎ°í ÀÖ´Â °ÍÀÌ´Ù. ¡°ÀÌ C&C µ¥ÀÌÅÍ´Â base64·Î ÀÎÄÚµù µÇ¾î ÀÖ½À´Ï´Ù. ¿©±â¿¡ ¾à°£ÀÇ ¡®¸ÂÃãÇü ¾ÏÈ£È ±â¼ú¡¯ÀÌ ¼¯¿©µì´Ï´Ù. µ¥ÀÌÅÍ´Â ÆäÀ̽ººÏÀÇ °Ô½Ã±ÛÀ̳ª À¯Æ©ºê ÇÁ·ÎÆÄÀÏ Á¤º¸¿¡ ÀúÀåµÇ¾î ÀÖ°í¿ä. À¯Æ©ºê³ª ÆäÀ̽ººÏ ¸ðµÎ ½Å·Ú¸¦ ¹Þ´Â ¼ºñ½ºÀ̱⠶§¹®¿¡ º¸¾È ÀåÄ¡µéÀ» ½±°Ô ÇÇÇØ°¥ ¼ö ÀÖ°Ô µË´Ï´Ù.¡±
C&C Á¤º¸°¡ ÀÌ µÎ °¡Áö·ÎºÎÅÍ ¼öÁý ¹× Á¶ÇÕµÇ°í ³ª¸é ¾Æ½ºÅ¸·Î½º´Â ½Ã½ºÅÛ¿¡¼ ±ÝÀ¶ °ü·Ã Á¤º¸, ºñ¹Ð¹øÈ£, À̸ÞÀÏ Å¬¶óÀ̾ðÆ® Å©¸®µ§¼È, SSH Å©¸®µ§¼È µîÀ» ¼öÁýÇϱ⠽ÃÀÛÇÑ´Ù. ¾Æ½ºÅ¸·Î½º´Â 2017³âºÎÅÍ Á¸ÀçÇØ¿Â ¸Ö¿þ¾îÀ̸ç, HTTPS POST¸¦ ÅëÇØ ÈÉÃij½ Á¤º¸¸¦ Àü¼ÛÇÑ´Ù. Àü¼ÛµÇ´Â °÷Àº ¾Û½ºÆÌ(Appspot)À̶ó´Â Á¤»ó ¼ºñ½º¿¡ È£½ºÆà µÈ »çÀÌÆ®·Î º¸³½´Ù.
¡°½Å·ÚµÇ´Â »çÀÌÆ®·Î, ¾ÏÈ£È µÈ Åë½Å ÇÁ·ÎÅäÄÝ·Î ¹º°¡¸¦ Àü¼ÛÇÑ´Ù´Â °ÍÀä, ±×·¸±â ¶§¹®¿¡ ³×Æ®¿öÅ© º¸¾È ÀåÄ¡µéÀ» ½±°Ô Åë°úÇÒ ¼ö ÀÖ°Ô µË´Ï´Ù. ÀÌ ÇÇ½Ì °ø°ÝÀÇ È帧 ÀÚü°¡ Á¤»ó ÇÁ·Î¼¼½º¿Í ¿ÜºÎ ¼ºñ½º¸¦ È°¿ëÇØ º¸¾È ÀåÄ¡µéÀ» ½±°Ô ÇÇÇØ°¥ ¼ö ÀÖµµ·Ï ±¸¼ºµÇ¾î ÀÖ½À´Ï´Ù. ½Å·Ú¹Þ´Â ÇÁ·Î¼¼½º¿Í ¼ºñ½º¶ó´Â ¿ä¼Ò¸¸ ¾Æ´Ï¶ó¸é ±Ý¹æ ŽÁöµÉ °ø°ÝÀε¥ ¸»ÀÌÁÒ.¡±
À̹ø ¾Æ½ºÅ¸·Î½º Ä·ÆäÀÎÀº ÁÖ·Î ºê¶óÁú¿¡¼ Å« ÇÇÇظ¦ ÀÏÀ¸Å°´Â ÁßÀÌ´Ù. ÇÇ½Ì À̸ÞÀÏÀº Æ÷¸£Åõ°¥¾î·Î ÀÛ¼ºµÇ¾î ÀÖ°í, °ø°Ý °úÁ¤ Áß¿¡ ´Ù¿î·Îµå µÇ´Â .ZIP ÆÄÀÏ ¿ª½Ã ºê¶óÁú ±¹°¡ À§Ä¡¸¦ ±â¹ÝÀ¸·Î ÇÑ Áö¿ÀÆ潺 ±â´ÉÀÌ Àû¿ëµÇ¾î ÀÖ´Ù. ¡°ÇÁ·Î¼¼½º ÇÒ·ÎÀ® ±â¹ýÀ¸·Î °¨¿°µÇ´Â ÇÁ·Î¼¼½ºµéÀº unins000.exe, svchost.exe, userinit.exeÀä, ÀÌÁß unins000.exe´Â ºê¶óÁú ¿Â¶óÀÎ ¹ðÅ·ÀÇ º¸¾È ÇÁ·Î±×·¥¿¡¼ ÁÖ·Î »ç¿ëÇÏ´Â °ÍÀ¸·Î ¾Ë·ÁÁ® ÀÖ½À´Ï´Ù.¡±
±×·¯³ª ÀÌ ±â¼úÀÌ °è¼ÓÇؼ ºê¶óÁúÀε鸸 À§ÇùÇ϶ó´Â ¹ýÀº ¾ø´Ù. ºñ½ÁÇÑ ¹æ¹ýÀ» ÅëÇØ ´Ù¸¥ ³ª¶ó¿¡¼µµ °ø°ÝÀÌ ¹ß»ýÇÒ ¼ö ÀÖ´Ù°í ¶óÀϸ®´Â °æ°íÇÑ´Ù. ¡°½ÇÁ¦·Î .LNK ÆÄÀÏÀ» È°¿ëÇÑ Ä·ÆäÀÎÀº À¯·´¿¡¼µµ ¹ß°ßµÈ ¹Ù ÀÖÁÒ. Á¤»ó ¼ºñ½º¿¡ ¾Ç¼º Äڵ带 ÁÖÀÔÇÏ´Â °Íµµ ÀÌ¹Ì ´Ù¸¥ Áö¿ª¿¡¼ Àû¹ßµÈ ¹Ù ÀÖ°í¿ä. °ø°ÝÀÚµéÀÇ ÀÀ¿ë·ÂÀ» °£°úÇؼ´Â ¾È µË´Ï´Ù.¡±
3ÁÙ ¿ä¾à
1. ºê¶óÁú¿¡¼ À¯ÇàÇÏ´Â ÇÇ½Ì Ä·ÆäÀÎ, ŽÁö ÀåÄ¡µé ¿ä¸®Á¶¸® ÇÇÇÔ.
2. Á¤»ó ¼ºñ½º¿¡¼ ÆÄÀÏ ´Ù¿î·Îµå ¹Þ°í, Á¤»ó ÇÁ·Î¼¼½º¿¡ ¾Ç¼º ÄÚµå ÁÖÀÔ.
3. ÇöÀç´Â ºê¶óÁú ¸ÂÃãÇü °ø°ÝÀÌÁö¸¸, ¼¼°èÀûÀ¸·Î ÁøÃâÇÒ °¡´É¼º ³ôÀ½.
[±¹Á¦ºÎ ¹®°¡¿ë ±âÀÚ(globoan@boannews.com)]
<ÀúÀÛ±ÇÀÚ: º¸¾È´º½º(www.boannews.com) ¹«´ÜÀüÀç-Àç¹èÆ÷±ÝÁö>