À¥Ä· À̹ÌÁö, Çϵåµå¶óÀÌºê ½ºÄµ µî °¢Á¾ µ¥ÀÌÅÍ È®º¸ÇÏ°í C&C·Î Àü¼Û
[º¸¾È´º½º ¹®°¡¿ë ±âÀÚ] ¾ÖµåÀ©µå(Adwind)¶ó´Â ¿ø°Ý Á¢±Ù Æ®·ÎÀ̸ñ¸¶¸¦ »ç¿ëÇÏ´Â °ø°ÝÀÚµéÀÌ ¹Ì±¹ÀÇ ¼®À¯ ȸ»çµéÀ» °ø°ÝÇÏ°í ÀÖ´Â °ÍÀ¸·Î ³ªÅ¸³µ´Ù. º¸¾È ¾÷ü ³Ý½ºÄÚÇÁ(Netskope)°¡ »ùÇÃÀ» È®º¸ÇØ ºÐ¼®ÇßÀ» ¶§, ÀÌÀü ¾ÖµåÀ©µå ¸Ö¿þ¾îÀÇ ÃֽŠ¹öÀüÀÎ °ÍÀ¸·Î º¸Àδٰí ÇÑ´Ù. ±×·¯³ª ±âº» °ñ°ÝÀÌ µÇ´Â ±â´Éµé ÀÚü¿¡´Â Å« º¯È°¡ ¾ø´Ù.
[À̹ÌÁö = iclickart]
¸ÕÀú ¾ÖµåÀ©µå´Â ´Ù´Ü°èÀÇ ³µ¶È ±â¼úÀ» »ç¿ëÇØ Å½Áö¸¦ ȸÇÇÇÏ·Á´Â ¸ð½ÀÀ» º¸ÀδÙ. ¶ÇÇÑ °¨¿°½ÃÅ°´Â µ¥ ¼º°øÇÑ ÀÌÈÄ¿¡´Â ½Ã½ºÅÛ ·¹Áö½ºÆ®¸®¸¦ Á¶ÀÛÇؼ °ø°ÝÀÇ Áö¼Ó¼ºÀ» È®º¸Çϱ⵵ ÇÑ´Ù. ±× ÈÄ¿¡´Â ÇÁ·Î¼¼½º ÁÖÀÔÀ» ½Ç½ÃÇÏ°í, º¸¾È ¼ºñ½º¿Í °ü·ÃµÈ ÇÁ·Î¼¼½º¸¦ Á¾·á½ÃŲ´Ù. ±×·± ÈÄ ¹Î°¨ÇÑ µ¥ÀÌÅ͸¦ ÈÉÄ¡±â À§ÇÑ ÈÄ¼Ó ÀÛ¾÷À» ½Ç½ÃÇÑ´Ù.
À̹ø Ä·ÆäÀο¡¼ ¾ÖµåÀ©µå°¡ ³¯¾Æµå´Â °÷Àº È£ÁÖÀÇ ÀÎÅÍ³Ý ±â¾÷ÀÎ ¿þ½ºÆ®³Ý(Westnet)ÀÎ °ÍÀ¸·Î ¹àÇôÁ³´Ù. °ø°ÝÀÚ°¡ ¿þ½ºÆ®³ÝÀÇ »ç¿ëÀÚÀ̰ųª, ¿þ½ºÆ®³ÝÀÇ °èÁ¤ ÀϺΰ¡ ħÇØ´çÇÑ °ÍÀ¸·Î ³Ý½ºÄÚÇÁ´Â º¸°í ÀÖ´Ù. ¡°¿©·¯ ¿þ½ºÆ®³Ý »ç¿ëÀÚµéÀÌ °°Àº RAT¸¦ È£½ºÆÃÇÏ°í ÀÖ´Â °ÍÀ¸·Î º¸ÀÔ´Ï´Ù. Áï ÀÌ »ç¿ëÀÚµéÀÌ ÁøÂ¥ ¹üÀÎÀ̰ųª, ¹üÀο¡°Ô ÀÌ¿ë´çÇÏ°í ÀÖ´Â ÁßÀÌ°ÚÁÒ.¡±
°ø°ÝÀÚµéÀº °¨¿°¿¡ »ç¿ëµÇ´Â ÆÄÀÏÀÇ ÁøÂ¥ È®ÀåÀÚ¸¦ ¼û±â±â À§ÇØ png, jar µî ¿©·¯ °¡Áö °¡Â¥ ÆÄÀÏ È®ÀåÀÚ¸¦ »ç¿ëÇÑ´Ù. ÆäÀ̷ε尡 ½ÇÇàµÇ°í ³ª¼´Â JAR ÃßÃâÀÌ ¿©·¯ ´Ü°è¸¦ °ÅÃÄ ¹ß»ýÇÑ´Ù. ¡°µå·ÓµÈ JAR ÇüÅÂÀÇ ÆäÀ̷εå´Â ½ÇÇà ½Ã ÀÚ¹Ù ÇÁ·Î¼¼½º¸¦ »ý¼ºÇÕ´Ï´Ù. ±×¸®°í ½º½º·Î¸¦ %User% µð·ºÅ丮·Î º¹Á¦ÇÕ´Ï´Ù. ´ÙÀ½À¸·Î´Â º¹Á¦¿Í ·¹Áö½ºÆ®¸® »ý¼ºÀ» ÅëÇØ °ø°Ý Áö¼Ó¼ºÀ» È®º¸ÇÏ°í, WMI ½ºÅ©¸³Æ®¸¦ %temp%¿¡ »ý¼ºÇÏ°í ½ÇÇàÇØ ¹æȺ®°ú ¹é½Å ¼ºñ½º¸¦ ¸·½À´Ï´Ù.¡±
¶ÇÇÑ µå·ÓµÈ JAR ÆÄÀÏÀº º¹È£È¸¦ ÅëÇØ ÀÓº£µå µÈ °´Ã¼¸¦ ÃßÃâÇÏ°í, À̸¦ ÅëÇØ 3´Ü°è JARÀ» ¸¸µé¾î ³½´Ù. ÀÌ 3´Ü°è JARÀº %temp% µð·ºÅ丮¿¡ ÀÛ¼ºµÇ°í, »õ·Î¿î ÀÚ¹Ù ½º·¹µå¸¦ Çü¼ºÇÏ¸ç ½ÇÇàµÈ´Ù. ½ÇÇà ½Ã JRAT Ŭ·¡½º¸¦ ·ÎµùÇÏ°í, ÀÌ JRAT Ŭ·¡½º´Â ÁÖ¿ä RAT ±â´ÉµéÀÌ ´ã±ä DLLÀ» »ý¼ºÇÑ´Ù.
JRAT Ŭ·¡½º°¡ »ý¼ºÇÏ´Â ÁÖ¿ä RAT ±â´Éµé ÀÚüµµ ¿©·¯ ´Ü°èÀÇ ³µ¶È ±â¼ú·Î °¨ÃçÁ® ÀÖ´Ù. ¿¬°áÇÏ°íÀÚ ÇÏ´Â C&C ¼¹ö´Â 185.205.210.48À̶ó´Â ÁÖ¼Ò¿¡ È£½ºÆà µÇ¾î ÀÖ´Â °ÍÀ¸·Î ³ªÅ¸³µ´Ù.
¡°¾ÖµåÀ©µå´Â ´Ù¾çÇÑ Ç÷§Æû¿¡¼ ÀÛµ¿ÇÏ´Â RAT·Î, À©µµ¿ì, ¸®´ª½º, ¸Æ ¸ðµÎ °¨¿°½Ãų ¼ö ÀÖ½À´Ï´Ù. »Ó¸¸ ¾Æ´Ï¶ó À¥Ä· À̹ÌÁö¸¦ ĸóÇÏ°í, Çϵåµå¶óÀ̺긦 ½ºÄµÇØ Æ¯Á¤ ÆÄÀÏÀ» ã¾Æ³¾ ¼öµµ ÀÖ½À´Ï´Ù. ã¾Æ³¾ ÆÄÀÏÀº RATÀÇ È¯°æ¼³Á¤ ÆÄÀÏ ³»¿¡ ÁöÁ¤µÇ¾î ÀÖ½À´Ï´Ù. Á¤»óÀûÀÎ À©µµ¿ì ÇÁ·Î¼¼½º¸¦ ÁÖÀÔÇϰųª, ½Ã½ºÅÛ »óŸ¦ ¸ð´ÏÅ͸µ ÇÏ°í, ÈÉÄ£ ÆÄÀÏÀ» ¾ÏÈ£È Çؼ C&C·Î »©µ¹¸®´Â °Íµµ °¡´ÉÇÕ´Ï´Ù.¡±
³Ý½ºÄÚÇÁ´Â ¾ÖµåÀ©µå´Â ²Ï³ª À¯¸íÇÑ ¸Ö¿þ¾î Æй讶ó¸ç, ¡°Áö³ ¸î ³â µ¿¾È ¿©·¯ °¡Áö Ä·ÆäÀÎÀ» ÅëÇØ ÆÛÁ®¿Ô´ø °Í¡±À̶ó°í ¼³¸íÇÑ´Ù. ÇØÄ¿µé »çÀÌ¿¡¼ ²Ï³ª ÀαⰡ ³ô´Ù°í º¼ ¼ö ÀÖ´Ù´Â °ÍÀÌ´Ù.
¡°ÀúÈñ°¡ ºÐ¼®ÇÑ »ùÇõéÀº ¹ÙÀÌ·¯½ºÅäÅ»(VirusTotal)À» ±âÁØÀ¸·Î ŽÁöÀ²ÀÌ 5/56À̾ú½À´Ï´Ù. ÀÌ´Â ÃÖÃÊ·Î ÇÇÇØÀÚÀÇ ½Ã½ºÅÛ¿¡ »ðÀԵǴ JARÀÇ °æ¿ì¿´½À´Ï´Ù. °¡Àå ¸¶Áö¸·¿¡ º¹È£È µÇ´Â JARÀÇ °æ¿ì´Â ŽÁöÀ²ÀÌ 49/58À̾ú°í¿ä. °ø°ÝÀÚµéÀÌ Áö³ ¼¼¿ù µ¿¾È °³¹ßÇØ¿À°í ´©Àû½ÃÄÑ¿Â ³µ¶È ±â¼úÀÌ ²Ï³ª ¼º°øÀûÀ̾ú´Ù°í º¼ ¼ö ÀÖÀ»¸¸ÇÑ ¼ºÀûÀÔ´Ï´Ù.¡±
3ÁÙ ¿ä¾à
1. À¯¸íÇÑ RATÀÎ ¾ÖµåÀ©µå, ÃÖ±Ù °ø°Ý Ä·ÆäÀÎ ÅëÇØ ´Ù½Ã ÆÛÁö°í ÀÖÀ½.
2. JARÀ̳ª PNG ÆÄÀÏ ÇüÅ·ΠÆäÀ̷ε带 ¹Ýº¹Çؼ ÃßÃâ. ´Ù´Ü°è ³µ¶È°¡ Ư¡.
3. ÇöÀç ¹Ì±¹ÀÇ ¼®À¯ °ü·Ã ȸ»çµéÀ» ÁýÁßÀûÀ¸·Î °ø°Ý Áß.
[±¹Á¦ºÎ ¹®°¡¿ë ±âÀÚ(globoan@boannews.com)]
<ÀúÀÛ±ÇÀÚ: º¸¾È´º½º(www.boannews.com) ¹«´ÜÀüÀç-Àç¹èÆ÷±ÝÁö>