세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
Home > 전체기사
러시아 APT 그룹의 VPN필터, 새 모듈 7개 추가 발견
  |  입력 : 2018-09-27 17:25
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
네트워크 장비 및 스토리지 침해하는 다기능 멀웨어
추가된 7개 모듈로 더 효과적이고 쉬운 멀웨어 증식 가능해져


[보안뉴스 문가용 기자] 시스코의 탈로스 팀이 VPN필터(VPNFilter) 멀웨어의 세 번째 모듈 7개를 추가적으로 발견했다. VPN필터는 2016년부터 우크라이나를 중심으로 세계 여러 곳의 네트워크 장비들을 수만 개 감염시켜온 멀웨어다.

[이미지 = iclickart]


VPN필터를 최초로 제작한 것은, 아직 정확히 알려지지는 않았으나, 업계에서는 대부분 러시아의 APT 그룹인 팬시베어(Fancy Bear)라고 보고 있다. 최근 여러 기관들의 노력으로 VPN필터 공격자들이 사용하고 있는 도메인 하나를 폐쇄시키기도 했지만, VPN필터는 아직도 생생하게 살아있는 사이버 공간의 위협이다.

또한 VPN필터는 디도스 공격, 정보 삭제 및 장비 무력화, 사이버 정찰 등의 기능을 전부 가지고 있다고 알려져 있다. 모듈 구조이기 때문에 다양한 기능을 수행할 수 있다. 그런데 여기에 7가지 기능이 추가로 발견된 것이다. 시스코 팀에 의하면 이 추가 모듈을 통해 공격자들은 네트워크 내에서 보다 쉽게 멀웨어를 증식시킬 수 있게 되고, 데이터 필터링을 할 수 있으며 악성 트래픽의 난독화 및 암호화를 할 수 있다고 한다.

탈로스 팀은 블로그를 통해 “공격자들은 침해된 네트워크와 스토리지 장비들을 활용해 공격에 필요한 모든 공격 행위들을 할 수 있게 되는데, 이는 VPN필터 덕분임이 확실해졌다”고 발표했다. 지난 5월 VPN필터를 제일 처음 발견한 것도 시스코 팀이었다.

이번에 공개된 모듈은 다음과 같다.
1) htpx : 장비들을 통해 전송된 HTTP 트래픽의 내용을 우회시키고 검사한다.
2) ndbr : 다기능 SSH 유틸리티.
3) nm : 침해한 장비로부터 네트워크 매핑을 실시한다.
4) netfilter : DoS 공격 기능.
5) portforwarding : 네트워크 트래픽을 공격자가 지정한 인프라로 포워딩시킬 수 있다.
6) socks5proxy : 침해한 장비 내에 SOCKS5 프록시를 마련한다.
7) tcpvpn : 침해한 징비 내에 리버스-TCP VPN을 마련한다.

또한 탈로스 팀은 마이크로소프트 윈박스(Winbox) 프로토콜용의 해독 툴을 개발했다고 발표했다. VPN필터 공격들이 윈박스 및 그와 관련이 있는 TCP 포트 8291을 악용해 마이크로틱(MikroTik)의 장비들을 공격하고 있었기 때문이다. 이 툴은 네트워크 운영자들에게 무료로 배포되고 있다고 하며, 이를 통해 8291 포트를 통한 악성 트래픽을 발견할 수 있을 것이라고 했다.

이 툴은 깃허브 리포지토리를 통해 열람이 가능하다. 주소는 https://github.com/Cisco-Talos/Winbox_Protocol_Dissector이다.

3줄 요약
1. 지난 5월 처음 발견된 모듈형 네트워크 침해 멀웨어, VPN필터.
2. 네트워크 감염 더 쉽게 해주는 새로운 모듈 7개 등장.
3. 탈로스 팀은 일부 방어 가능하게 해주는 무료 툴 배포 중. 주소는 본문에.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
모니터랩 파워비즈 배너 시작 18년9월12일위즈디엔에스 2018WD 파워비즈 2017-0305 시작
설문조사
국내 정보보호 분야 주요 사건·이슈 가운데 정보보호산업에 가장 큰 영향을 미친 것은 무엇이라고 생각하시나요?
2001년 정보보호 규정 포함된 정보통신망법 개정
2003년 1.25 인터넷 대란
2009년 7.7 디도스 대란
2011년 개인정보보호법 제정
2013년 3.20 및 6.25 사이버테러
2014년 카드3사 개인정보 유출사고
2014년 한수원 해킹 사건
2017년 블록체인/암호화폐의 등장
기타(댓글로)