요약 : 보안 외신 해커뉴스에 의하면 스모크로더(SmokeLoader)라는 멀웨어가 다시 등장했다고 한다. 이번에는 대만의 IT와 제조업을 주로 노리고 있다. 보안 업체 포티넷(Fortinet)이 분석한 바에 의하면 스모크로더는 모듈로 구성되어 있기 때문에 유연하게 움직이며 여러 환경을 알맞게 공격할 수 있다고 한다. 하지만 기본적으로는 다운로더이기 때문에 최초 침투 후 추가 멀웨어를 다운로드 하는 것을 기본 공격 메커니즘으로 가지고 있다. 이번 공격에서도 최초 침투 후 추가 모듈을 받는 것으로 나타났다.


배경 : 스모크로더는 2011년에 처음 등장한 멀웨어로, 2024년 5월 국제 공조로 무력화 된 후 사라진 것처럼 보였다. 당시 이 작전에 참여한 사법 기관들은 1천 개가 넘는 C&C 서버를 압수했으며, 이미 스모크로더에 감염된 시스템 5만 개 이상을 청소하기도 했었다. 하지만 스모크로더라는 멀웨어 자체가 너무 오랜 기간 사용되어 왔기 때문에 다크웹 상에 크랙된 버전이 많았고, 공조 당시 아무도 체포되지 않았기 때문에 누군가 다시 스모크로더를 부활시킬 것으로 예상됐었다.

말말말 : “이번 스모크로더는 추가 파일을 받는 게 아니라 플러그인을 받아 설치합니다. 그렇기 때문에 더 은밀하고, 한층 더 탐지가 어렵게 됩니다. 배후에 있는 자들이 얼마나 교묘한지를 보여줍니다.” -포티넷-
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>