친정부 해커조직 시리아 전자군, 닷넷 기반 RAT 이용한 공격

[보안뉴스 민세아] 美 경제전문지 포브스는 최근 시리아 전자군이 시리아 야당 홈페이지 및 미군 중부 사령부(CENTCOM)에 블랙웜(Blackworm)이라는 닷넷 기반의 RAT를 이용해 공격하고 있다고 발표했다.

Blackworm은 웜의 일종으로, 감염이 되면 가장 먼저 백신을 비활성화시키고 삭제한다. 그 후 감염 확대를 위해 이메일을 발송하고, 레지스트리 자동시작 프로그램 목록에 자신을 추가한다.

BlackWorm v0.3.0 빌더는 명령제어 서버(C&C)의 IP 주소 이외의 구성이 필요 없기 때문에 간단하고 매우 빠른 페이로드를 제공해 초보자들도 쉽게 이용이 가능하다는 특징이 있다.

이외에도 Windows의 특정 프로세스를 종료시키는 작업 관리자를 사용하지 않도록 설정하며, USB 드라이브에 자신을 복사하고 자동 실행하도록 설정한다.

또한 공격자가 피해 시스템 정보를 쉽게 확인하기 위해 컨트롤러에 피해시스템 OS 정보, 사용자 이름, 호스트 이름, 카메라 존재, 활성 창 이름 같은 시스템 정보를 수집해 출력한다.

BlackWorm의 다른 버전인 다크 버전(v2.1)은 v0.3.0보다 좀더 세부적으로 피해 시스템을 제어할 수 있도록 설계돼 있으며, 다양한 파일확장자(EXE, src, DLL 등) 선택이 가능하다.

한편, 시리아 전자군은 시리아의 친정부 해커조직으로, 직·간접적으로 시리아 정부와 직간접적으로 연관을 맺고 있으며 시리아 정부의 이미지를 개선하고 시리아 야당에 압력을 가하는 것이 주 활동 목표다.

보다 자세한 사항은 한국인터넷진흥원 인터넷침해대응센터 홈페이지나 아래 출처를 확인하면 된다.

[출처]

1.http://www.fireeye.com/blog/technical/2014/08/connecting-the-dots-syrian-malware-team-uses-blackworm-for-attacks.html

2.http://www.scmagazine.com/syrian-malware-team-makes-use-of-enhanced-blackworm-rat/article/368902/

[민세아 기자(boan5@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>