이란 정부의 자국민 공격 흔적?...코드랫 백도어의 소스코드 분석해 보니

요약 : 보안 외신 시큐리티위크에 의하면 새로운 백도어인 코드랫(CodeRAT)의 소스코드를 개발자가 스스로 공개했다고 한다. 코드랫은 악성 워드 문서를 통해 유포되고 있었고, 약 50개의 명령어를 지원하는 멀웨어인 것으로 분석됐다. 주로 피해자의 장비에 설치되어 피해자의 온라인 활동을 모니터링 하는 것이 주된 목적인 것으로 파악되고 있다. 이란의 사용자들을 표적으로 삼고 있는 것으로 보이며, 어딘지는 모르지만 정부 기관의 지원을 받는 자들이 운영하는 것으로 여겨진다고 한다. 코드랫 개발자는 이전에 로보씨프(RoboThief)라는 멀웨어를 개발한 이력이 있는 것으로도 보인다.


배경 : 이란 시민들을 겨냥한 공격을 누가했을까? 여러 후보가 있을 수 있지만 이란 정부 자신도 포함이 된다. 이란은 엄격한 무슬림 교리로 통치되는 국가로, 정부 기관이 시민들의 비도덕적 행위나 국가 반역 행위를 감시하기 위해 종종 멀웨어를 자국 내에 유포하기도 한다. 멀웨어 배후에 있는 인물들 중 두 명의 이름이 조사 중에 발견되기도 했는데, 둘 다 페르시아어로 된 이름이기도 했다.

말말말 : “멀웨어의 소스코드가 유출되면 여러 공격자들이 이를 참고하여 각자의 멀웨어를 구축할 수 있게 됩니다. 앞으로 코드랫의 여러 변종들이 출현할 가능성이 높습니다.” -세이프브리치(SafeBreach)-
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>