흔적 남기지 않아 탐지 어려운 멀웨어, 미국 국방 업체들에서 발견돼

요약 : 새로운 백도어가 출현했다. 이름은 속디투어(SockDetour)로, 파일레스(fileless) 및 소킷레스(socketless)라는 특성을 가지고 있다. 따라서 탐지가 매우 힘들다. 현재 미국의 국방 업체들 내 시스템에서 주로 발견되고 있으며, 중요 군사 정보를 빼돌리는 것을 목적으로 하는 것으로 보인다. 하지만 여차하면 추가 멀웨어를 다운로드 받아 주요 시스템을 마비시키거나 사용 불능 상태로도 만들 수 있을 것으로 보인다.


배경 : 보안 업체 팔로알토 네트웍스(Palo Alto Networks)에 의하면 속디투어는 2단계 멀웨어로서 주로 사용되고 있다고 한다. 즉 1단계 멀웨어가 침투한 뒤 다운로드 되는 게 속디투어라는 것이다. 속디투어는 최소 2019년 7월부터 사용되어 온 것으로 추정되고 있다.

말말말 : “속디투어를 사용하는 해킹 단체는 틸티드템플(TiltedTemple)로 보입니다. 틸티드템플은 중국을 근거지로 두고 활동하는 것으로 보이며, 최근까지 각종 제로데이 취약점을 익스플로잇 하는 수법으로 피해자들을 공격해왔습니다.” -팔로알토 네트웍스-
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>