![[정종철] 뚜따에 진심인 형+과학자코스프레+현미경을구입했어
CPU 뚜따 교육자료ㅋㅋ](https://raptor-hw.net/xe/files/thumbnails/739/203/241x165.crop.jpg "뚜따에 진심인 형+과학자코스프레+현미경을구입했어")
4월 16일 카스퍼스키랩 연구진은 주로 아시아 지역의 스마트폰을 노리고 DNS(domain name system) 하이재킹 기법을 통해 유포되는 신종 악성 코드를 하나 보고했다. 이 악성 코드는 4주 동안 빠르게 진화를 거듭하여 현재 지리적 공격 범위가 유럽과 중동까지 확대되었고 iOS 기기에 대한 피싱 옵션 및 PC 암호화 화폐 채굴 기능도 추가되었다. Roaming Mantis라고 불리는 이 공격은 주로 자격 증명 정보 등의 사용자 정보를 탈취하고 해커가 감염된 기기를 완전하게 장악할 수 있도록 설계되어 있다. 카스퍼스키랩 연구진은 이러한 공격 활동의 배후에 금전적 이득을 목적으로 하는 한국어 또는 중국어 기반의 사이버 범죄집단이 있는 것으로 보고 있다.
공격 방법
카스퍼스키랩의 분석 결과에 따르면 Roaming Mantis 배후의 해커들은 취약한 라우터를 찾아내어 보안 기능을 손상시키며 이렇게 감염된 라우터의 DNS 설정을 하이재킹하는, 간단하지만 매우 효과적인 수법을 통해 악성 코드를 퍼트린다. 라우터 보안 기능을 손상시키는 방법은 알려져 있지 않다. 일단 DNS 하이재킹에 성공하면 사용자가 웹사이트에 접근하려고 시도할 때마다 정상적인 것으로 보이는 가짜 웹사이트 URL로 연결된다. “검색 기능 개선을 위해 Chrome을 최신 버전으로 업데이트하세요.”와 같은 위조 요청 메시지를 받은 사용자가 링크를 클릭하면 트로이목마를 포함한 애플리케이션의 설치가 시작된다. ‘facebook.apk’ 또는 ‘chrome.apk’라는 이름의 이들 애플리케이션에는 안드로이드 백도어 프로그램이 포함되어 있다.
Roaming Mantis 악성 코드는 해당 기기가 루팅되어 있는지 확인한 다음 사용자의 모든 커뮤니케이션 또는 검색 활동에 대해 알림을 받을 권한을 요청한다. 또한 이 악성 코드는 2단계 인증에 필요한 자격 증명 정보 등의 광범위한 데이터도 수집할 수 있다. 이러한 기능 외에도 대한민국에서 널리 사용되는 모바일 뱅킹 및 게임 애플리케이션 ID에 대한 검색이 소스 코드에 포함되어 있다는 사실로 미루어 볼 때 이들의 공격에는 금전적 동기가 깔려 있을 가능성이 있다.
공격 국가 및 기능의 확대
카스퍼스키랩이 초기 연구에서 밝혀낸 약 150명의 피해자는 주로 대한민국, 방글라데시, 일본에 분포되어 있었다. 그러나 해커의 C&C 서버에서 매일같이 수천 건의 연결이 이루어지고 있다는 사실도 드러났는데, 이는 훨씬 더 광범위한 공격이 실행되고 있을 가능성을 시사한다. Roaming Mantis는 초기에 한국어, 중국어 간체, 일본어, 영어를 지원했다.
현재 공격 범위는 더욱 확대되어 폴란드어, 독일어, 아랍어, 불가리아어, 러시아어 등, 총 27개 언어가 지원된다. 또한 악성 코드가 iOS 기기의 존재를 인식할 경우 Apple 테마의 피싱 페이지로 이동하는 기능이 추가되었다. 가장 최근 추가된 기능은 PC 암호화 화폐 채굴 기능을 갖춘 악성 웹사이트이다. 카스퍼스키랩에서 관찰한 바로는 매우 광범위한 공격이 최소 한 차례 이상 진행되었던 것으로 보이며, 연구진에 따르면 며칠 사이 카스퍼스키랩 고객이 100명 이상 공격을 받았다고 한다.
카스퍼스키랩코리아의 이창훈 지사장(www.kaspersky.co.kr)은 “카스퍼스키랩은 4월에 처음 Roaming Mantis에 대해 보고하면서 이 악성 코드가 능동적이고 변화 속도가 빠르다고 전한 바 있습니다. 새로운 증거에 따르면 공격 국가가 폭발적으로 확대되어 유럽과 중동 등으로까지 번진 것으로 보입니다. 카스퍼스키랩은 금전적 이득을 노리는 사이버 범죄자들이 배후에 있다고 추측하며, 이들이 중국어 또는 한국어를 구사한다고 여겨지는 여러 단서를 발견했습니다. 공격자에게 상당히 큰 동기가 있는 것이 분명하므로 기세는 쉽게 꺾이지 않을 것으로 보입니다. 이들은 라우터를 감염시키고 DNS를 하이재킹하는 기법을 사용하므로 기기 보호를 철저히 하고, 불특정 Wi-Fi 사용 시 VPN 기능의 사용을 반드시 활용해야 할 것입니다.”라고 말했다.
카스퍼스키랩의 여러 제품은 Roaming Mantis 공격을 ‘Trojan-Banker.AndroidOS.Wroba’로 탐지한다.
이러한 악성 코드 감염으로부터 인터넷 연결을 보호할 수 있도록 카스퍼스키랩은 다음과 같은 조치를 취할 것은 권고한다.
● 라우터의 사용자 매뉴얼을 참조하여 DNS 설정이 무단 변경되지 않았는지 확인하거나 ISP에 문의하여 도움을 받는다
● 라우터의 관리자 웹 인터페이스에서 기본 로그인 및 암호 설정을 변경하고 공식 출처를 통해 라우터 펌웨어를 정기적으로 업데이트한다.
● 라우터 펌웨어는 절대 제조사가 아닌 타사 출처를 통해 설치하지 않는다. 안드로이드 기기의 경우 타사 저장소 사용을 피해야 한다.
● 또한 브라우저와 웹사이트 주소가 정상적인 주소인지 항상 확인한다. 데이터 입력 요청을 받을 경우 https와 같은 표시가 있는지 확인한다.
● Kaspersky Internet Security for Android와 같은 모바일 보안 솔루션을 설치하여 이러한 공격을 비롯한 다양한 위협에서 기기를 보호한다.
Roaming Mantis 및 기술 정보에 대해 자세한 내용은 Securelist의 블로그 포스트에서 확인할 수 있다.
*기존 4월16일자 Securelist 블로그 포스트
공격 방법
카스퍼스키랩의 분석 결과에 따르면 Roaming Mantis 배후의 해커들은 취약한 라우터를 찾아내어 보안 기능을 손상시키며 이렇게 감염된 라우터의 DNS 설정을 하이재킹하는, 간단하지만 매우 효과적인 수법을 통해 악성 코드를 퍼트린다. 라우터 보안 기능을 손상시키는 방법은 알려져 있지 않다. 일단 DNS 하이재킹에 성공하면 사용자가 웹사이트에 접근하려고 시도할 때마다 정상적인 것으로 보이는 가짜 웹사이트 URL로 연결된다. “검색 기능 개선을 위해 Chrome을 최신 버전으로 업데이트하세요.”와 같은 위조 요청 메시지를 받은 사용자가 링크를 클릭하면 트로이목마를 포함한 애플리케이션의 설치가 시작된다. ‘facebook.apk’ 또는 ‘chrome.apk’라는 이름의 이들 애플리케이션에는 안드로이드 백도어 프로그램이 포함되어 있다.
Roaming Mantis 악성 코드는 해당 기기가 루팅되어 있는지 확인한 다음 사용자의 모든 커뮤니케이션 또는 검색 활동에 대해 알림을 받을 권한을 요청한다. 또한 이 악성 코드는 2단계 인증에 필요한 자격 증명 정보 등의 광범위한 데이터도 수집할 수 있다. 이러한 기능 외에도 대한민국에서 널리 사용되는 모바일 뱅킹 및 게임 애플리케이션 ID에 대한 검색이 소스 코드에 포함되어 있다는 사실로 미루어 볼 때 이들의 공격에는 금전적 동기가 깔려 있을 가능성이 있다.
공격 국가 및 기능의 확대
카스퍼스키랩이 초기 연구에서 밝혀낸 약 150명의 피해자는 주로 대한민국, 방글라데시, 일본에 분포되어 있었다. 그러나 해커의 C&C 서버에서 매일같이 수천 건의 연결이 이루어지고 있다는 사실도 드러났는데, 이는 훨씬 더 광범위한 공격이 실행되고 있을 가능성을 시사한다. Roaming Mantis는 초기에 한국어, 중국어 간체, 일본어, 영어를 지원했다.
현재 공격 범위는 더욱 확대되어 폴란드어, 독일어, 아랍어, 불가리아어, 러시아어 등, 총 27개 언어가 지원된다. 또한 악성 코드가 iOS 기기의 존재를 인식할 경우 Apple 테마의 피싱 페이지로 이동하는 기능이 추가되었다. 가장 최근 추가된 기능은 PC 암호화 화폐 채굴 기능을 갖춘 악성 웹사이트이다. 카스퍼스키랩에서 관찰한 바로는 매우 광범위한 공격이 최소 한 차례 이상 진행되었던 것으로 보이며, 연구진에 따르면 며칠 사이 카스퍼스키랩 고객이 100명 이상 공격을 받았다고 한다.
카스퍼스키랩코리아의 이창훈 지사장(www.kaspersky.co.kr)은 “카스퍼스키랩은 4월에 처음 Roaming Mantis에 대해 보고하면서 이 악성 코드가 능동적이고 변화 속도가 빠르다고 전한 바 있습니다. 새로운 증거에 따르면 공격 국가가 폭발적으로 확대되어 유럽과 중동 등으로까지 번진 것으로 보입니다. 카스퍼스키랩은 금전적 이득을 노리는 사이버 범죄자들이 배후에 있다고 추측하며, 이들이 중국어 또는 한국어를 구사한다고 여겨지는 여러 단서를 발견했습니다. 공격자에게 상당히 큰 동기가 있는 것이 분명하므로 기세는 쉽게 꺾이지 않을 것으로 보입니다. 이들은 라우터를 감염시키고 DNS를 하이재킹하는 기법을 사용하므로 기기 보호를 철저히 하고, 불특정 Wi-Fi 사용 시 VPN 기능의 사용을 반드시 활용해야 할 것입니다.”라고 말했다.
카스퍼스키랩의 여러 제품은 Roaming Mantis 공격을 ‘Trojan-Banker.AndroidOS.Wroba’로 탐지한다.
이러한 악성 코드 감염으로부터 인터넷 연결을 보호할 수 있도록 카스퍼스키랩은 다음과 같은 조치를 취할 것은 권고한다.
● 라우터의 사용자 매뉴얼을 참조하여 DNS 설정이 무단 변경되지 않았는지 확인하거나 ISP에 문의하여 도움을 받는다
● 라우터의 관리자 웹 인터페이스에서 기본 로그인 및 암호 설정을 변경하고 공식 출처를 통해 라우터 펌웨어를 정기적으로 업데이트한다.
● 라우터 펌웨어는 절대 제조사가 아닌 타사 출처를 통해 설치하지 않는다. 안드로이드 기기의 경우 타사 저장소 사용을 피해야 한다.
● 또한 브라우저와 웹사이트 주소가 정상적인 주소인지 항상 확인한다. 데이터 입력 요청을 받을 경우 https와 같은 표시가 있는지 확인한다.
● Kaspersky Internet Security for Android와 같은 모바일 보안 솔루션을 설치하여 이러한 공격을 비롯한 다양한 위협에서 기기를 보호한다.
Roaming Mantis 및 기술 정보에 대해 자세한 내용은 Securelist의 블로그 포스트에서 확인할 수 있다.
*기존 4월16일자 Securelist 블로그 포스트
