요약 : 보안 외신 해커뉴스에 의하면 윈도 사용자들을 노리는 멀웨어 확산 캠페인이 새롭게 진행되는 중이라고 한다. 딥고수(DEEP#GOSU)라고 불리는 캠페인을 통해 백도어 멀웨어가 퍼지고 있다고 하는데, 배후에는 킴수키라는 북한의 유명 해킹 조직이 있는 것으로 분석됐다. 이 멀웨어는 파워셸과 VB스크립트를 기반으로 하고 있으며, 키로깅과 클립보드 모니터링, 페이로드 실행과 데이터 유출 등의 기능을 가지고 있다. 즉 피해자를 정찰하고 정보를 수집하는 데 사용되는 멀웨어라는 뜻이다. 드롭박스나 구글독스와 같은 정상적인 서비스들이 공격에 활용되고 있어 속기에 쉽다고 한다. 아직 피해 규모나 상황에 대해서는 정확하게 공개되지 않고 있지만 킴수키의 주요 표적 중에는 한국이 포함되어 있다.


배경 : 공격의 시작은 악성 파일이 첨부되어 있는 메일이다. 주로 .lnk 파일이 포함되어 있지만 PDF 문서인 것처럼 위장되어 있다. 이를 다운로드 받아 실행할 경우 파워셸 스크립트가 실행되며 드롭박스에서 .NET 파일이 다운로드 된다. 이 파일의 정체는 트루랫(TruRat)이라는 백도어이며, 킴수키가 과거에도 종종 사용했던 멀웨어다.

말말말 : “북한의 공격자들은 최신 공격 기술과 전략을 모두 활용하고 있습니다. 클라우드 활용에서부터 파워셸을 곁들인 다단계 공격 체인 등 이들의 발전 속도가 놀랍도록 빠릅니다.” -해커뉴스-
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>