북한의 악성코드 'Volgmer' 미당국이 IP주소 공표

IT 이야기/보안 이슈

KDSVPN 2017. 11. 16. 11:59

일본서버임대

북한이 각국의 기업과 인프라를 겨냥한 사이버 공격을 하고 있다고 하는 문제는 이전부터 알려져있다.

미 보안기관의 US-CERT는 11월 14일 공격에 사용되는 트로이 목마형 악성 코드 "Volgmer"관련 IP주소 등의

세부 사항을 밝혀냈다고 발표했다.

일본서버임대

미국 정부는 북한의 공격을 "HIDDEN COBRA"로 명명하고 국토 안보부(DHS)와 연방 수사국(FBI)이

수사를 계속하고 있다.

이번에는 북한의 사이버 공격 저지에 도움을 주는 목적으로 공격에 사용되고 있는 IP 주소의 목록을 발표했다.

공격자는 이 IP주소를 사용하여 조직의 네트워크에 잠복해 새로운 공격기회를 엿보고 있다고 한다.

US-CERT에 따르면 Volgmer는 침입 한 시스템에 몰래 액세스할 수 있는 백도어 기능을 가진 악성코드로,

HIDDEN COBRA는 적어도 2013년부터 Volgmer를 사용하여 정부기관이나 금융, 자동차, 미디어 등의

기업을 대상으로 하고 있었다고 한다.

감염 수법으로는 주로 스피어 피싱이 사용되고 있으며, 여러 사용자 지정 도구도 이용하고 있다.

일본서버임대

Volgmer는 타켓이 되는 조직의 시스템에 감염되면, TCP를 통한 제어 서버와 통신하여 시스템 정보를

수집, 파일 업로드 및 다운로드 명령의 실행 등을 실시한다.

피해 조직의 시스템에 "서비스로 악성 코드"를 설치하고 시스템내에 상주하며, 피해 조직은 민감한 정보나

기밀 정보를 유출하거나 업무에 지장을 초래, 손상을 입을 가능성이 있다 .

FBI 등이 Volgmer의 인프라를 분석한 결과 적어도 94의 고정 IP주소와 여러 동적 IP주소가 사용되고

있는 것을 발견했다.

동적 IP주소는 인도를 필두로 이란, 파키스탄, 사우디 아라비아, 대만 등 주로 아시아와 중동 국가에

등록되어 있는 것으로 나타났다.

일본서버임대

US-CERT의 경고는 Volgmer가 사용하는 IP주소 등 감염의 징후가되는 정보와 특징을 공개했다.

조직에 할당된 IP주소 공간이나 로그 등을 확인하고, 만약 Volgmer 징후가 발견되면 조치를 취할 수 있도록

촉구하고 있다.

일본서버임대