사이버 공격자들, 들키자마자 곧바로 새로운 도구 개발에 착수하는지도

요약 : 보안 업체 카스퍼스키(Kaspersky)가 토미리스(Tomiris)라는 새 멀웨어를 찾아냈다. 노벨륨(Nobelium)이라는 APT 그룹이 이전에 사용했던 선셔틀(Sunshuttle)과 여러 가지 면에서 연결고리가 발견된다고 한다. 같은 언어로 개발이 됐고, 설정 파일의 세퍼레이터도 같으며, C&C 서버와의 통신을 위한 암호화 및 난독화 기술도 동일하다는 게 분석 내용이다. 네트워크 모니터링을 피하기 위해 주기적으로 슬립 모드에 들어가는 것도 똑같다.


배경 : 선셔틀은 지난 해 말과 올해 초 발견된 솔라윈즈(SolarWinds) 사태와 연루된 멀웨어로, 고 언어로 작성된 2차 다운로더 멀웨어다. 토미리스도 선셔틀과 비슷한 기능을 수행한다. 토미리스는 선셔틀의 개발자들이 개발한 것으로 추정된다.

말말말 : “만약 선셔틀과 토미리스의 개발자가 동일 인물 혹은 동일 단체라면, 우리는 공격자들이 뒷덜미를 잡힌 후 어떻게 반응하는지를 엿볼 수 있게 될 것입니다. 토미리스는 선셔틀이 발각되자마자 개발에 들어간 것으로 보입니다.” -카스퍼스키-
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>