딥판다의 새로운 룻키트 파이어칠리...윈티와의 연관성도 어느 정도 드러나

요약 : 중국의 APT 단체인 딥판다(Deep Panda)가 VM웨어 호라이즌(VMware Horizon) 서버를 공략하기 위해 새로운 윈도 룻키트를 사용했다고 보안 블로그 시큐리티어페어즈가 보도했다. 이 룻키트의 이름은 파이어칠리(Fire Chili)이며, 로그4셸(Log4Shell) 취약점을 익스플로잇 하는 기능을 가지고 있다고 한다. 현재까지 여러 나라의 금융, 학술, 여행, 화장품 산업에서 피해가 발견되고 있다. 이 룻키트는 정상적인 디지털 인증서로 서명되었는데, 이 인증서는 중국의 또 다른 사이버 공격 단체인 윈티(Winnti)가 훔친 것으로 알려져 있다.


배경 : 파이어칠리는 기본적인 시스템 검토를 통해 가상 및 시뮬레이션 환경에서 작동하지 않고 있음을 먼저 확인한다. 한 중국의 개발자가 발표한 오픈소스 프로젝트를 기반으로 삼고 있다. 딥판다는 미국의 국방 및 금융 단체들을 집중적으로 노리는 것으로 알려진 조직이다.

말말말 : “딥판다와 윈티는 룻키트를 자주 이용하는 공격 단체입니다. 하지만 아직까지 이번 캠페인에 있어서 두 조직의 연관성은 명확히 밝혀지지 않고 있습니다.” -포티넷(Fortinet)-
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>