시스템의 관리 서버 등에 대한 접근해 계정 정보 노출

[보안뉴스 김태형] 국내 백신 솔루션을 우회하여 사용자의 키입력 정보를 탈취하는 APT 악성코드가 발견돼 사용자들의 주의가 요구된다.

image

보안전문기업 NSHC  Red Alert팀에 따르면 “현재, 미국에 위치한 해커의 웹 서버에 악성코드에 감염된 사용자가 입력하는 키입력 정보를 실시간 업로드 하고 있다. 지난 5일 20:39분경 확인한 바에 의하면 해당 악성코드는 시스템의 관리 서버 등에 대한 접근을 통해 계정 정보(ID/PASSWORD)를 노출시키고 있다”고 밝혔다.

또한 “아직 감염자의 수는 많지 않지만 지속적으로 감염자가 늘어나고 있으며, 백신을 최신버전으로 유지하고 진단을 하지 못하는 백신도 있으니 프로세스 목록에 sss.scr이 있는지 주기적으로 체크하여 감염되었을 경우 수동으로 제거해야 한다”고 강조했다.

현재 시간 4월 5일 20시를 기준으로 국내 백신은 잉카인터넷의 nProtect와 이스트소프트의 알약(해외 엔진 BitDefender)만 탐지를 하고 있으니 주의해야 한다.

피해자의 키로깅 파일 조회 결과, 독일은행의 ID와 패스워드가 노출되었으며, 그 외의 라우터 관리자로 추측되는 라우터 IP, 라우터의 비밀번호, 명령어 등이 노출되었다 .

이 악성코드 분석에 관한 더욱 자세한 내용은 NSHC Red Alert팀에서 운영하는 페이스북 페이지(www.facebook.com/nshc.redalert)에서 확인할 수 있다.

△ 사용자 키입력 정보 탈취하는 ‘APT 악성코드’ 개요

- 대상 : 시스템 접속 계정 탈취를 위한 APT 공격.

- 증상 : 기존 백신 시스템을 우회하여 관리자 및 사용자 PC의 입력값을 미국에 위치한 중국 서버로 전송함

- 위협 : 금융 시스템에 대한 접근 계정 및 금융 정보 탈취 가능

- 대응방안 : 첨부된 보고서를 참조하여 접근 통제 정책을 긴급 적용

Posted by 엠플 (주)엠플