중국 IT 기업 치후360이 바이두와 사이버공격 확산을 저지하기 위해 공동 대응에 나섰다고 최근 밝혔다.
치후360은 중국 포털 및 모바일 보안, 클라우드 등 여러 IT 사업을 전개하고 있다. 바이두와는 경쟁 관계다.
치후360에 따르면 중국 사용자 수십만명이 트로이목마 악성코드를 유포하는 봇넷 '더블건(DoubleGuns)'에 감염돼 있다.
지난 2017년 7월 치후360 연구팀은 더블건의 샘플을 처음으로 발견했다. 이 악성코드는 윈도 기반 기기를 공격 대상으로 삼고 있으며, 중국 내 사용자를 노린다. 샘플이 포착된 이후 지속적으로 활동을 전개하고 있다.
감염 확산을 위해 해커는 불법 복제된 게임을 내려받을 수 있는 서버 포털로 위장해 사용자 접근을 유도한다. 사용자가 이 사이트에서 파일을 내려받고 실행하면 악성파일이 다운로드 되는 식이다.
해커는 감염된 기기에서 게임 포털 '스팀' 계정을 비롯한 자격증명 정보를 탈취하려 한다.
이와 함께 광고를 노출하고, 인스턴트 메시지 서비스 '텐센트 QQ' 계정에 접근해 지인들에게 광고를 보낸다.
더블건 구 부전에서는 전자상거래 포털의 트래픽을 가로채 사용자를 복제한 사이트로 리디렉션하는 것도 발견됐으나, 최근 버전에서는 이같은 행위가 나타나지 않는다.
더블건에서는 보안 소프트웨어(SW)를 비활성화하는 기능이 포함돼 있었으며, 여기에는 중국 백신 제품이 주로 포함돼 있었다.
이에 치후360은 지난 14일부터 바이두와 함께 더블건 봇넷의 백엔드 인프라를 제거하고 있다.
관련기사
- 중국 최대 사이버보안 기업 "CIA, 11년간 중국 기업·기관 해킹"2020.05.29
- 블록체인 특허 톱20 가운데 중국 기업이 15개2020.05.29
- 5년간 한국만 노린 외국 해커 사기수법 드러나2020.05.29
- "퍼블릭 블록체인·스마트컨트랙트도 취약점 존재"2020.05.29
치후360에 따르면 더블건을 유포하는 해커는 지난 3년간 악성코드를 유포하기 위해 바이두 티에바 이미지 호스팅 서비스를 사용하고 있었다. 전달하려는 정보를 이미지, 영상, 파일 등에 숨기는 암호 기술 '스테가노그래피'를 이용, 감염된 기기에서 수행할 악성 행위 관련 내용을 담았다.
양사는 지난 2주간 더블건이 유포하는 이미지를 내려받은 사용자 수를 토대로 봇넷의 규모를 수십만대 수준으로 추정했다.