제조업을 노린 악성코드인 일명 '듀저(Duuzer)'가 국내 기업들을 공격대상으로 삼아 주요 기밀유출을 시도하고 있는 것으로 나타났다.
시만텍은 최근 백도어 트로이목마 듀저와 함께 웜 바이러스인 '브램블(Brambul)', 백도어 트로이목마인 '조납(Joanap)' 등이 국내 기업에 대한 표적공격을 시도하고 있다고 밝혔다.
시만텍 보안위협대응센터에 따르면 듀저는 악성 메일(스피어피싱)이나 악성 웹사이트(워터링홀)를 통해 공격을 시도하고 있는 것으로 추정된다.
듀저는 32비트와 64비트 컴퓨터에서 모두 작동하며, 일단 컴퓨터를 감염시키면 공격자가 마음대로 대상 시스템을 조작할 수 있게 하는 백도어를 통해 ▲시스템 및 드라이브 정보 수집 ▲프로세스 생성, 나열 및 종료 ▲파일 접근, 변경 및 삭제 ▲파일 업로드 및 다운로드 ▲파일의 시간 속성 변경 ▲명령어 실행 등 거의 모든 작업을 수행할 수 있다.
시만텍의 분석 결과 듀저 공격자들은 악성코드의 이름을 컴퓨터에 설치돼 있는 합법적인 소프트웨어와 비슷하게 변경해 감염사실을 숨기는 것으로 나타났다.
또한 듀저 공격자들은 더 많은 한국기업들을 공격하기 위해 브램블과 조납을 함께 악용한 것으로 나타났다. 브램블에 감염된 컴퓨터 중 일부는 듀저에도 감염됐으며, 공격자가 대상 시스템에 명령을 내리는 C&C 서버로 악용되기도 했다.
브램블은 무작위로 숫자, 문자 등을 입력해 비밀번호를 알아내는 무차별대입 공격을 통해 전파되며, 사용자 이름, 비밀번호 목록을 사용한 서버 메시지 블록(SMB) 프로토콜을 통해 임의 IP주소로 연결한다. 이 때 사용되는 비밀번호는 '123123', 'abc123', 'computer', 'iloveyou', 'login', 'password' 등과 같이 흔하거나 예측하기 쉬운 것들이다.
조납은 브램블과 함께 설치되며 'SmartCard Protector'라는 이름으로 서비스명을 등록해 악성행위를 한다. 이 악성코드는 백도어 접속, 공격자에 특정 파일 전송, 파일 저장 및 삭제, 실행파일 다운로드 및 실행, 프로세스 시작 및 종료 등을 수행할 수 있다. 또한 RC4로 암호화된 연결을 통해 감염된 또 다른 컴퓨터로 명령어와 환경설정 데이터를 전송할 수도 있다.
관련기사
- "보안 인텔리전스, 실행이 답이다"2015.10.28
- 시만텍 보안 서비스 기반 IoT기기 10억대 돌파2015.10.28
- "이메일 보안, 전송지연까지 고려해야"2015.10.28
- 시만텍, 메일 보안서비스 국내 보급 확대2015.10.28
시만텍코리아 제품기술본부 윤광택 상무는 "듀저, 브램블, 조납은 모두 국내서 특히 제조기업들을 집중 겨냥한 악성코드로 정보 탈취를 목표로 한 산업스파이 성격이 강하다"며 "최근 들어 우리나라를 겨냥한 사이버 공격이 증가하고 있으니, 기업의 기밀 유출이 되지 않도록 인프라 차원의 대비와 함께 사용자의 각별한 주의가 필요하다"고 강조했다.
문제를 해결하기 위해 시만텍은 먼저 기본설정돼 있는 사용자 이름과 비밀번호를 변경할 것을 당부했다. 또한 쉽게 예측할 수 있는 비밀번호를 사용하지 말아야 하며, 운영체제와 소프트웨어를 주기적으로 업데이트해 최신 상태를 유지할 것을 요청했다. 메일이나 웹사이트를 통해 공격이 이뤄지는 만큼 의심스러운 이메일 첨부파일이나 링크를 열어보지 말아야한다고 덧붙였다.
