침해사고/위협동향

하우리, 3.20 악성코드 변종 유포 주의보

디지털데일리 발행일 2014-07-08 18:32:57
이민형

[디지털데일리 이민형기자] 하우리(대표 김희천)는 7일 오후 1시경부터 지난해 3.20 전산망해킹에 사용된 악성코드의 변종이 유포되고 있다고 8일 밝혔다.

이 악성코드는 다수의 국내 웹사이트를 통해 국내 온라인 결제모듈 액티브X(Active-X) 업데이트 파일 변조 취약점과 국내 데이터저작관리(DRM) 제품모듈 액티브X 취약점 등을 이용해 유포되고 있는 상황이다.

해당 악성코드에 감염되면 감염 정보를 1차 명령제어(C&C) 서버로 전송하며 추가적인 명령을 수신해 악성행위를 수행하게 된다. 1차 C&C 서버는 대부분 제로보드, 케이보드 등 국내 게시판을 사용하는 웹사이트로 국내 게시판의 취약점을 이용해 서버를 확보한 것으로 추정된다.

특히 해당 악성코드가 접속하는 C&C 서버 중 일부는 지난해 3.20 전산망해킹에 사용된 C&C 서버와 일치하는 것으로 나타났다. 또한 명령을 수신해 복호화하고 정보를 C&C 서버로 전송하는 암호화 로직이 3.20 악성코드와 동일한 로직을 사용하고 있다.

이 회사 최상명 차세대보안연구센터장은 “작년과는 다르게 관제를 강화한 결과 3.20 악성코드의 최신 변종 시리즈를 조기에 발견하게 됐다”며 “1차 C&C 서버와 2차 토르(TOR) C&C 서버를 통해 추가로 수신하는 암호화된 명령을 해독하며 예의주시 중”이라고 밝혔다.

<이민형 기자>kiku@ddaily.co.kr

Copyright ⓒ 디지털데일리. 무단전재 및 재배포 금지
이민형
webmaster@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기

이 기사와 관련된 기사

디지털데일리가 직접 편집한 뉴스 채널

당신이 좋아할 만한 뉴스

많이 본 기사

연재기사

실시간 추천 뉴스