사이버 보안의 글로벌 리더인 ESET(이셋)의 국내 법인 이셋코리아(www.estc.co.kr)는 사이버 스파이 그룹인 Turla 가 사용하는 가장 오래된 맬웨어 중 하나인 ComRAT의 최신 버전을 발견했다고 밝혔습니다.

 

Snake로도 알려진 Turla는 악명 높은 사이버 스파이 그룹으로 10년 이상 활동해 왔습니다. 업데이트된 백도어의 가장 흥미로운 기능은 Gmail UI를 사용한다는 것입니다. ComRAT2017년부터 최소 3개의 정부 기관을 공격하여 민감한 문서를 훔쳤습니다. ESET은 이 최신 ComRAT2020년 초에도 여전히 사용되고 있다는 사실을 발견하였습니다. 이는 Turla 그룹이 여전히 활발히 활동하고 있으며 외교 및 군사적으로 큰 위협이 되고 있음을 보여줍니다.

 

ComRAT의 주요 용도는 기밀 문서를 훔치는 것입니다. 어떤 경우에는 운영자가 .NET 실행 파일을 배포하여 조직의 문서가 포함된 피해자의 중앙 MS SQL Server 데이터베이스와 상호 작용할 수도 있습니다. 맬웨어 운영자는 OneDrive 4shared와 같은 퍼블릭 클라우드 서비스를 사용하여 데이터를 유출했습니다. Turla의 최신 백도어는 감염된 컴퓨터에서 추가적인 프로그램 실행 및 파일 유출과 같이 다른 많은 작업을 수행할 수 있습니다.

 

공격자가 보안 소프트웨어를 회피하려 한다는 사실이 중요합니다. 이 악명 높은 그룹을 수년 간 조사해온 Matthieu Faou,
"
이는 이 그룹의 정교함과 오랜 기간 같은 기기에 머무르려는 의도를 보여줍니다." Gmail 웹 인터페이스를 사용하는 최신 버전의 ComRAT 맬웨어 제품군은 악성 도메인에 의존하지 않기 때문에 일부 보안 제어를 우회할 수 있습니다.”

라고 설명합니다.

 

Faou는 또한,
백도어 업그레이드는 ESET2017년 처음 발견했습니다. 완전히 새로운 코드 기반을 사용하며 이전 모델보다 훨씬 더 복잡합니다. ESET 연구원들이 본 백도어의 가장 최신 버전은 작년 11월에 컴파일 된 것입니다. 피해를 입은 동일한 컴퓨터에서 발견된 다른 악성 코드 샘플에 따르면 ComRAT Turla에 의해 독점적으로 사용된다고 생각합니다.”
라고 덧붙였습니다.

 

Agent.BTZ로도 알려진 ComRAT 2008년 미군에 침입해서 악명을 떨친 악성 백도어입니다. 2007년에 출시된 이 맬웨어의 첫 번째 버전은 이동식 드라이브를 통해 확산되어 웜 기능을 보여주었습니다.

 

ComRAT에 대한 자세한 기술 정보와 IoC(Indicator of Compromise)의 전체 목록을 보려면 WeLiveSecurityESET 백서를 참고하십시오. ESET Research의 최신 뉴스를 보려면 Twitter에서 ESET Research를 팔로우하십시오.

 

사업자 정보 표시
ESET KOREA operated by ESTC | 정형래 | 서울시 강남구 논현로 406 요경빌딩 4층 | 사업자 등록번호 : 264-81-44862 | TEL : 070-7839-0510 | Mail : sales@estc.co.kr | 통신판매신고번호 : 제2015-서울서초-0624호 | 사이버몰의 이용약관 바로가기
블로그 이미지

셈틀씨

안전한 기술을 즐기는 ESET KOREA operated by ESTC 공식 블로그입니다.

댓글을 달아 주세요