2020-02-29 22:00 (토)
악성코드 듀큐 변종, 이란과 수단 시스템 공격에 사용
상태바
악성코드 듀큐 변종, 이란과 수단 시스템 공격에 사용
  • 길민권
  • 승인 2011.11.30 18:29
이 기사를 공유합니다

카스퍼스키랩, 감염사례 4건 발견
공격 IP는 미국으로 확인…MS와 SW 취약성 악용해 공격
[박춘식 교수의 보안이야기] 카스퍼스키가가 지난 10월26일 보도한 자료를 통해서 듀큐(Duqu)에 의한 이란과 수단을 노린 표적형 공격을 탐지했다고 발표했다.
 
카스퍼스키랩의 전문가는 Duqu 분석을 행한 결과 최초의 단계에서 몇 개의 특징이 밝혀졌다. 먼저 시스템을 감염시키기 위해 사용되는 드라이버는 탐지된 Duqu의 변종마다 달랐다.
 
어떤 변종의 드라이버에는 가짜 디지털 서명이 사용되었지만, 다른 드라이버에는 사용되지 않았다. 또 다른 것은 Duqu에 다른 구성요소가 존재할 가능성이 있다는 것이다. 이 두가지 발견에 의해 대상 공격에 의해 맬웨어의 동작을 변경하는 것이 가능하지 않을까 추측할 수 있다.
 
카스퍼스키 시큐리티 네트워크(Kaspersky Security Network)에 의해 새로운 감염 사례가 4건 보고되었다. 그 가운데 1건은 수단의 사용자를 표적으로 한 것이며 나머지 3건은 이란의 사용자를 노린 것이었다.
 
이들 4건의 사례에는 시스템을 감염시키기 위해 특별한 변경을 추가한 드라이버가 사용되었다. 더욱이 이란의 경우 감염 사례에는 MS08-067의 취약성을 악용한 네트워크 공격이 2번 시도되었다.
 
이 2회의 공격은 이전 미국의 인터넷 제공업자가 소유하고 있었던 동일한 IP주소로부터 시도되었다. 이러한 특징에 의해 이란의 특정 사용자를 표적으로 한 공격이었다고 추측하고 있다. 또한, 이 공격에 있어서 별도의 소프트웨어의 취약성을 노렸을 가능성도 있다고 말했다. [데일리시큐=길민권 기자]