보안

맨디언트, 마이크로소프트(MS) 서명 악성코드 관련 보고서 발표

이종현
[디지털데일리 이종현기자] 사이버보안 기업 맨디언트는 센티넬원과 협력해 지난 13일 발표된 마이크로소프트(MS) 서명이 된 악성코드와 관련한 보고서를 발표했다고 16일 밝혔다.

맨디언트는 윈도 운영체제(OS)에서 엔드포인트 탐지 및 대응(EDR) 프로세스를 종료하는 데 사용된 것을 확인했다. 맨디언트는 발견한 악성 드라이버와 해당 로더를 각각 ‘POORTRY’, ‘STONESTOP’이라는 이름으로 추적 중이다.

맨디언트에 따르면 MS 서명이 된 악성코드를 사용하는 특정 위협 행위자 최소 9개 조직을 식별했다. 인증 서명을 이용한 공격이 새로운 전술은 아니지만 맨디언트가 이 방법을 사용하는 표적 공격자를 확인한 것은 처음이라는 설명이다. 배후에 공격자들의 악성코드 서명을 돕는 그룹이 있는 것으로 추정되는 배경이다. 맨디언트는 해당 행위자를 ‘UNC3944’로 명명했다.

맨디언트는 MS 서명 악성코드 공격을 방어하고자 하는 조직은 MS 참고자료를 검토하는 것 외에 맨디언트 보고서의 ‘추적 및 차단’ 섹션에 제공된 팀을 활용할 수 있다고 전했다.
이종현
bell@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기
디지털데일리가 직접 편집한 뉴스 채널