요약 : 보안 외신 핵리드에 따르면 멀웨어 드로퍼가 새롭게 나타났다고 한다. 사실 하나의 드로퍼가 아니라 여러 개의 드로퍼가 묶여 하나의 군을 형성하고 있다고 하는데, 이 군에는 틱택토(TicTacToe)라는 이름이 붙었다. 드로퍼들에서 공통적으로 발견되는 폴란드어 문자열이 있는데, 이것을 해석하면 틱택토가 되기 때문이다. 틱택토는 피해자의 시스템에 침투한 후 여러 가지 최종 페이로드를 심는데, 현재까지 발견된 건 레오넴(Leonem), 에이전트테슬라(AgentTesla), 스네이크로거(SnakeLogger), 로키봇(LokiBot), 렘코스(Remcos), 렘로더(RemLoader), 사브식(Sabsik), 타스쿤(Taskun), 안드롬(Androm), 유패터(Upatre)라고 한다.


배경 : 틱택토를 활용한 캠페인은 지난 12개월 동안 진행됐다고 보안 업체 포티가드(FortiGuard)는 설명한다. 또한 틱택토를 최초로 심기 위한 실행파일은 주로 .iso 파일 형태로 유포된다고 한다. 파일 안에는 여러 DLL 파일이 숨겨져 있으며, 피해자가 iso 파일을 실행하거나 열면 이 DLL 파일이 추출돼 메모리에 로딩된다고 한다. 윈도 시스템이 주요 공격 대상인 것으로 현재 분석되고 있다.

말말말 : “현재까지 진행된 캠페인을 분석했을 때 해시 기반 탐지 기술에 어느 정도 방어되는 것을 발견할 수 있었습니다. 하지만 그것에 더해 행동 패턴을 기반으로 비정상을 탐지하는 기술도 효과적일 것으로 예상합니다.” -포티가드-
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>