보안기업 이셋(ESET)은 자사 연구원들이 최근 ‘빅토리게이트(VictoryGate)’라는 새로운 봇넷을 발견했으며 이 봇넷의 일부를 중단시켰다고 밝혔다.

이셋 분석에 따르면, 빅토리게이트는 2019년 5월부터 활동해 왔으며 감염된 장치의 90% 이상이 페루에 위치해 있으며 봇넷의 주요 활동은 모네로 암호화폐 채굴이다. 피해자 중에는 금융 기관을 포함해 공공 및 민간 부문 조직을 포함되어 있다.

이셋 연구원들은 봇넷의 동작을 제어하는 여러 도메인 이름을 ‘싱크홀링’해 봇넷의 슬레이브 컴퓨터가 원하는 명령을 전송하지 않고 단순히 봇넷 활동을 모니터링하는 시스템으로 대체시켰다. 이 데이터와 이셋 원격 분석을 기반으로 이셋은 이 캠페인 기간 동안 적어도 3만5천개의 장치가 빅토리게이트에 감염된 것으로 추정하고 있다.

빅토리게이트를 전파하는데 사용되는 유일한 감염 매개체는 이동식 장치다. 봇넷을 조사한 이셋 연구원은 “피해자는 어느 시점에서 감염된 컴퓨터에 연결된 USB 드라이브를 받는다. 감염되기 이전 포함된 이름과 아이콘이 동일한 모든 파일이 있는 것 같다. 이 때문에 내용은 언뜻 보기에 거의 똑같아 보일 것이다. 그러나 모든 원본 파일은 맬웨어의 복사본으로 대체되었다. 이를 예상하지 않은 사용자가 이 파일 중 하나를 열려고 하면 스크립트는 의도한 파일과 악성 페이로드를 모두 연다"고 설명했다.

해당 연구원은 또한 피해자의 컴퓨터에 미치는 영향에 대해 “봇넷의 리소스 사용량이 매우 높아서 CPU 부하가 90%에서 99%로 일정하게 발생한다. 이로 인해 장치 속도가 느려지고 과열 및 손상이 발생할 수 있다”고 경고했다.

이셋 조사에 따르면, 빅토리게이트는 라틴아메리카 지역에서 관찰된 이전의 유사한 캠페인보다 탐지를 피하기 위해 훨씬 더 많은 노력을 기울였다. 또한 봇마스터가 감염된 장치에 다운로드 및 실행된 페이로드의 기능인 암호화폐 채굴을 다른 악성 행위로 언제든지 업데이트 할 수 있다는 사실을 감안할 때 상당한 위험이 따른다. 확인된 많은 피해자가 공공 부문이나 금융 기관에 있었기 때문에 특히 그렇다고 전했다.

장치가 이 맬웨어에 감염된 것으로 의심되는 경우 무료 ESET Online Scanner를 사용해 컴퓨터를 치료할 수 있다. 1단계 모듈은 이셋 보안 제품에서 MSIL/VictoryGate로 탐지된다.

★정보보안 대표 미디어 데일리시큐!★

◇상반기 최대 개인정보보호&정보보안 컨퍼런스 G-PRIVACY 2020 개최
-날짜: 2020년 5월 28일
-장소: 더케이호텔서울 2층 가야금홀
-참석: 공공·금융·기업 개인정보보호 및 정보보안 책임자·실무자
-교육이수: 7시간 인정
-사전등록: 사전등록 클릭
-보안기업 참가문의: 데일리시큐 길민권 기자 / mkgil@dailysecu.com