침해사고/위협동향

‘3.20 대란’ 악성코드 유사공격 탐지…유럽 물류·운송업계 공격

이유지

- ‘다크서울’과 유사한 변형 멀웨어 활동

[디지털데일리 이유지기자] 지난 2013년 3월 20일 국내 주요 은행과 방송사 전산망을 마비시켰던 ‘다크서울(Dark Seoul)’과 유사한 공격이 탐지됐다.

팔로알토네트웍스(지사장 최원식)는 자사의 지능형지속위협(APT) 대응 솔루션 ‘와일드파이어(WildFire)’ 분석 결과, ‘3.20 대란’에 사용된 멀웨어인 ‘다크서울’과 상당부분 유사한 사이버 공격 사례가 다시 나타났다고 21일 밝혔다.

이 회사 보안 위협 분석기관인 유닛42(Unit 42)는 최근 유럽의 운송 및 물류 업계를 대상으로 한 공격을 확인했다. 이 공격에 사용된 새로운 변형 멀웨어는 ‘TDrop’으로, 기능 및 구조, 사용 툴 면에서 ‘다크서울’ 공격 때 사용된 멀웨어와 상당 부분 유사하다.

또한 최근의 동남아시아 지역을 타깃으로 했던 ‘로터스 블로썸 (Lotus Blossom)’과 비슷하게 이번에는 유럽 지역의 기업들을 대상으로 했다는 사실이 밝혀졌다.

이 멀웨어는 정상적인(legitimate) 보안 카메라 비디오 플레이어를 우회해 출입한다. 최초 공격은 산업용 제어 시스템 분야에서 사용되는 소프트웨어의 설치 실행 파일에 트로이목마를 사용한 스피어 피싱 이메일에서 발견됐다. 플레이어 실행과 함께 멀웨어가 동시 실행되므로, 최종 사용자는 멀웨어 침입 사실을 인지하지 못한다. 침투 후에는 공격자가 구성 매개변수를 수정하고 추가 멀웨어를 다운로드하고 명령을 실행할 수 있도록 작동한다.

최원식 팔로알토네트웍스코리아 지사장은 “휴면 상태로 알려진 위협의 재등장은 이제 더 이상 새로운 일이 아니다. ‘3.20 대란’의 공격 그룹이 이번 공격을 실행한 것인지 구체적으로 확인된 바는 없으나 해당 멀웨어는 자세한 내용이 알려진 바 없는 만큼 해당 공격 그룹이 코드를 공유했을 수도 있다”고 말했다. 그는 이어 “팔로알토네트웍스 고객들은 자사의 위협 인텔리전스(Threat Intelligence) 보안 서비스 제품인 오토포커스(AutoFocus)를 활용해 이번 공격에 대한 해시값을 포함한 구체적인 정보를 확인할 수 있으며, 선제 방어를 위해 팔로알토네트웍스 차세대 보안 플랫폼을 통해 사전에 이런 침투를 막을 수 있다”고 덧붙였다.

유닛42는 어떠한 이유로 현재 시점에 ‘다크서울’ 공격의 유사 멀웨어가 재등장했는지 데이터는 충분하지 않으나, 상황을 지속적으로 주시하고 사전 방어가 가능하도록 만발을 기할 것이라고 밝혔다.

팔로알토네트웍스는 이를 위해 새로운 변형 멀웨어의 샘플을 식별할 수 있도록 오토포커스(AutoFocus) TDrop2 태그를 생성하고 사이버 위협 선제 방어 제품군에 C2 도메인 및 해시값을 추가했다.

<이유지 기자>yjlee@ddaily.co.kr

이유지
webmaster@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기
디지털데일리가 직접 편집한 뉴스 채널