요약 : 보안 외신 해커뉴스에 의하면 아프가니스탄 정부를 향한 사이버 공격에 새로운 웹셸이 동원됐다고 한다. HrServ.dll이라는 이름을 가지고 있으며, 배후에는 APT 단체가 있는 것으로 보인다. 클라이언트 통신에 활용될 독자적인 암호화 기술을 갖추고 있으며, 메모리 내에서 페이로드를 실행시키는 등 고차원적인 기능성을 선보이기도 한다. 보안 업체 카스퍼스키(Kaspersky)가 발견한 것으로, 추적을 이어가다 보니 최초의 변종은 2021년 타임스탬프가 찍혀 있었다고 한다. 그 동안 물밑에서 사용되어 온 웹셸이라는 것이다. 다만 이 공격의 배후에 누가 있는지는 아직까지 알 수 없다고 한다.


배경 : 웹셸은 해킹 공격자들을 위한 악성 도구 중 하나다. 침해된 서버를 원격에서 조정하는 데 주로 사용된다. 피해자의 서버에 한 번 심겨지기만 하면 그 후 공격자들은 이 웹셸이라는 것을 통해 데이터 탈취, 횡적 움직임, 정찰 및 정보 수집, 횡적 움직임 등 다양한 악성 행위를 실시할 수 있게 된다.

말말말 : “공격자들이 작성한 스크립트를 분석했을 때 영어에 익숙하지 않은 모습을 여럿 발견할 수 있었습니다. 하지만 기술력은 매우 뛰어나고, 금전적 이득에 크게 관심을 두고 있지 않았습니다. 이 때문에 정부 기관을 등에 업은 APT 단체 중 하나라고 보고 있습니다.”
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>