요약 : 보안 외신 해커뉴스에 의하면 이제껏 한 번도 발견된 적 없는 새로운 백도어가 나타났다고 한다. 이름은 엠수페지(Msupedge)로, 대만의 한 대학교를 공격하는 데 활용되고 있었다. DNS 트래픽을 통해 외부의 C&C 서버와 통신하고 있는 것이 가장 큰 특징이라고 보안 업체 시만텍(Symantec)은 설명했다. 하지만 누가 어떤 목적으로 이 새 백도어를 만들어 사용하고 있는지는 아직 명확히 밝혀지지 않았다. 또한 최초 접근 방식도 아직은 확실히 알 수 없다. 다만 PHP에서 발견된 초고위험도 취약점인 CVE-2024-4577이 이것과 관련이 있는 것으로 보인다고 한다. 이 취약점은 원격 코드 실행 공격을 가능하게 한다.


배경 : 현재까지 분석된 바에 따르면 엠수페지는 프로세스 생성, 파일 다운로드, 슬립, 임시 파일 생성, 파일 삭제 등의 기능을 수행할 수 있다고 한다. 문제의 백도어는 DLL 형태로 csidl_drive_fixed\xampp\ 폴더와 csidl_system\wbem\ 폴더에 설치된다.

말말말 : “DNS 트래픽을 통해 명령을 받기도 하지만 이미 리졸브 처리 된 IP 주소를 사용해 명령을 받기도 합니다. 고도의 표적 공격으로 보이는데, 아직까지 확신할 수 있는 건 없습니다.” -시만텍-
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>