메일 보내기

솔루션 검색 데모요청 TOP

RSS Feed 받기

로그인 정보로 피드받기
입력한 이메일로 피드받기

보안뉴스

4월 16일 카스퍼스키랩 연구진은 주로 아시아 지역의 스마트폰을 노리고 DNS(domain name system) 하이재킹 기법을 통해 유포되는 신종 악성 코드를 하나 보고했다. 이 악성 코드는 4주 동안 빠르게 진화를 거듭하여 현재 지리적 공격 범위가 유럽과 중동까지 확대되었고 iOS 기기에 대한 피싱 옵션 및 PC 암호화 화폐 채굴 기능도 추가되었다. Roaming Mantis라고 불리는 이 공격은 주로 자격 증명 정보 등의 사용자 정보를 탈취하고 해커가 감염된 기기를 완전하게 장악할 수 있도록 설계되어 있다. 카스퍼스키랩 연구진은 이러한 공격 활동의 배후에 금전적 이득을 목적으로 하는 한국어 또는 중국어 기반의 사이버 범죄집단이 있는 것으로 보고 있다.

공격 방법

카스퍼스키랩의 분석 결과에 따르면 Roaming Mantis 배후의 해커들은 취약한 라우터를 찾아내어 보안 기능을 손상시키며 이렇게 감염된 라우터의 DNS 설정을 하이재킹하는, 간단하지만 매우 효과적인 수법을 통해 악성 코드를 퍼트린다. 라우터 보안 기능을 손상시키는 방법은 알려져 있지 않다. 일단 DNS 하이재킹에 성공하면 사용자가 웹사이트에 접근하려고 시도할 때마다 정상적인 것으로 보이는 가짜 웹사이트 URL로 연결된다. “검색 기능 개선을 위해 Chrome을 최신 버전으로 업데이트하세요.”와 같은 위조 요청 메시지를 받은 사용자가 링크를 클릭하면 트로이목마를 포함한 애플리케이션의 설치가 시작된다. ‘facebook.apk’ 또는 ‘chrome.apk’라는 이름의 이들 애플리케이션에는 안드로이드 백도어 프로그램이 포함되어 있다.

Roaming Mantis 악성 코드는 해당 기기가 루팅되어 있는지 확인한 다음 사용자의 모든 커뮤니케이션 또는 검색 활동에 대해 알림을 받을 권한을 요청한다. 또한 이 악성 코드는 2단계 인증에 필요한 자격 증명 정보 등의 광범위한 데이터도 수집할 수 있다. 이러한 기능 외에도 대한민국에서 널리 사용되는 모바일 뱅킹 및 게임 애플리케이션 ID에 대한 검색이 소스 코드에 포함되어 있다는 사실로 미루어 볼 때 이들의 공격에는 금전적 동기가 깔려 있을 가능성이 있다.

공격 국가 및 기능의 확대

카스퍼스키랩이 초기 연구에서 밝혀낸 약 150명의 피해자는 주로 대한민국, 방글라데시, 일본에 분포되어 있었다. 그러나 해커의 C&C 서버에서 매일같이 수천 건의 연결이 이루어지고 있다는 사실도 드러났는데, 이는 훨씬 더 광범위한 공격이 실행되고 있을 가능성을 시사한다. Roaming Mantis는 초기에 한국어, 중국어 간체, 일본어, 영어를 지원했다.

현재 공격 범위는 더욱 확대되어 폴란드어, 독일어, 아랍어, 불가리아어, 러시아어 등, 총 27개 언어가 지원된다. 또한 악성 코드가 iOS 기기의 존재를 인식할 경우 Apple 테마의 피싱 페이지로 이동하는 기능이 추가되었다. 가장 최근 추가된 기능은 PC 암호화 화폐 채굴 기능을 갖춘 악성 웹사이트이다. 카스퍼스키랩에서 관찰한 바로는 매우 광범위한 공격이 최소 한 차례 이상 진행되었던 것으로 보이며, 연구진에 따르면 며칠 사이 카스퍼스키랩 고객이 100명 이상 공격을 받았다고 한다.

카스퍼스키랩코리아의 이창훈 지사장(www.kaspersky.co.kr)은 “카스퍼스키랩은 4월에 처음 Roaming Mantis에 대해 보고하면서 이 악성 코드가 능동적이고 변화 속도가 빠르다고 전한 바 있습니다. 새로운 증거에 따르면 공격 국가가 폭발적으로 확대되어 유럽과 중동 등으로까지 번진 것으로 보입니다. 카스퍼스키랩은 금전적 이득을 노리는 사이버 범죄자들이 배후에 있다고 추측하며, 이들이 중국어 또는 한국어를 구사한다고 여겨지는 여러 단서를 발견했습니다. 공격자에게 상당히 큰 동기가 있는 것이 분명하므로 기세는 쉽게 꺾이지 않을 것으로 보입니다. 이들은 라우터를 감염시키고 DNS를 하이재킹하는 기법을 사용하므로 기기 보호를 철저히 하고, 불특정 Wi-Fi 사용 시 VPN 기능의 사용을 반드시 활용해야 할 것입니다.”라고 말했다.

카스퍼스키랩의 여러 제품은 Roaming Mantis 공격을 ‘Trojan-Banker.AndroidOS.Wroba’로 탐지한다.

이러한 악성 코드 감염으로부터 인터넷 연결을 보호할 수 있도록 카스퍼스키랩은 다음과 같은 조치를 취할 것은 권고한다.

● 라우터의 사용자 매뉴얼을 참조하여 DNS 설정이 무단 변경되지 않았는지 확인하거나 ISP에 문의하여 도움을 받는다

● 라우터의 관리자 웹 인터페이스에서 기본 로그인 및 암호 설정을 변경하고 공식 출처를 통해 라우터 펌웨어를 정기적으로 업데이트한다.

● 라우터 펌웨어는 절대 제조사가 아닌 타사 출처를 통해 설치하지 않는다. 안드로이드 기기의 경우 타사 저장소 사용을 피해야 한다.

● 또한 브라우저와 웹사이트 주소가 정상적인 주소인지 항상 확인한다. 데이터 입력 요청을 받을 경우 https와 같은 표시가 있는지 확인한다.

Kaspersky Internet Security for Android와 같은 모바일 보안 솔루션을 설치하여 이러한 공격을 비롯한 다양한 위협에서 기기를 보호한다.

Roaming Mantis 및 기술 정보에 대해 자세한 내용은 Securelist의 블로그 포스트에서 확인할 수 있다.
*기존 4월16일자 Securelist 블로그 포스트

카스퍼스키랩 소개
1997년 설립되어 2017년 20주년이 된 글로벌 사이버 보안 전문 회사 카스퍼스키랩은 심층적인 보안 위협 인텔리전스와 보안 전문 지식을 바탕으로 전 세계 각지의 기업, 기간 산업 인프라, 정부 및 개인 소비자에게 혁신적인 보안 솔루션과 서비스를 제공하고 있습니다. 카스퍼스키랩은 세계 최고 수준의 엔드포인트 보호 솔루션부터 다양한 특수 분야 전용 보안 솔루션 및 서비스까지 광범위한 제품 포트폴리오를 갖추고서 갈수록 정교해지는 디지털 위협에 맞서 싸우고 있습니다. 전 세계적으로 카스퍼스키랩의 기술을 통해 보호를 받는 사용자 수는 4억 명 이상이며, 27만 곳의 기업 고객이 카스퍼스키랩의 보안 서비스와 솔루션을 이용하고 있습니다.
자세한 내용은 www.kaspersky.com을 참조하십시오.

번호 제목 날짜
132 카스퍼스키랩 DDoS 인텔리전스 보고서에 새로운 키워드로 등장한 프린터, e스포츠, 가상 화폐

2018.08.23 0

2018.08.23
131 작년 한 해 가상 화폐의 사회공학 공격기법을 통한 피해 규모 약 천만 달러에 달해

2018.07.30 0

2018.07.30
130 2018년 2분기 APT 동향 요약 보고서

2018.07.30 0

2018.07.30
129 아시아의 정치 외교적 표적과 새로운 공격을 통해 드러난 2분기 위협 상황

2018.07.30 0

2018.07.30
128 카스퍼스키랩, 사용자를 감시 및 추적하는 모바일 앱을 둘러싼 우려에 대한 해답 제시

2018.07.30 0

2018.07.30
127 암호 화폐 채굴 악성 코드 피해자 연간 270만 명으로 44% 증가

2018.07.10 0

2018.07.10
126 유럽의 생화학 위협 대응 기관을 노리며 활동을 재개한 '올림픽 디스트로이어' 공격

2018.06.28 0

2018.06.28
125 2018년 1분기 4배 증가한 Microsoft Office 익스플로잇 공격

2018.06.28 0

2018.06.28
124 2018 FIFA 월드컵 개최 도시의 Wi-Fi 핫스팟 중 20% 이상에서 사이버 보안 문제 발견

2018.06.28 0

2018.06.28
123 축구팬을 농락하는 2018 FIFA 월드컵 티켓 판매 사기

2018.06.28 0

2018.06.28
122 2018년 1분기 소셜 네트워크 피싱의 60%를 차지한 가짜 Facebook 사이트

2018.06.28 0

2018.06.28
121 차세대 Kaspersky Endpoint Security for Business를 통한 사이버 보안 위험 관리

2018.06.11 0

2018.06.11
120 카스퍼스키랩 보안 교육 프로그램(악성 코드 분석 및 디지털 포렌식)

2018.05.29 0

2018.05.29
» DNS 하이재킹 공격기법을 사용하며 공격 국가와 기능을 확장하고 있는 Roaming Mantis

디브릿지 2018.05.29 51

2018.05.29
118 WannaCry 공격 이후 1년, 여전히 수많은 사용자를 괴롭히는 EternalBlue 취약점

2018.05.29 0

2018.05.29
117 카스퍼스키랩, 핵심 인프라를 러시아에서 스위스로 이전 및 최초의 투명성 센터 개설

2018.05.29 0

2018.05.29
116 카스퍼스키랩, Internet Explorer에 대한 제로데이 취약점 발견

2018.05.29 0

2018.05.29
115 국제 CC 인증 취득으로 성능과 무결성을 입증한 Kaspersky Endpoint Security for Business

2018.05.14 0

2018.05.14
114 ZooPark: 정상 웹사이트를 해킹해 퍼져나가는 신종 안드로이드 악성 코드 공격

2018.05.14 0

2018.05.14
113 카스퍼스키랩 DDoS 인텔리전스 1분기 보고서: 증폭 공격과 기존 봇넷의 귀환

2018.05.14 0

2018.05.14