어도비 리더(Adobe Reader)를 업데이트해야 한다. 보안 전문가에 따르면 새로운 공격은 익스플로잇 된 어도비 리더 소프트웨어의 취약점을 통해 유럽 정부를 타깃으로 하고 있다고 한다.
 
카스퍼스키 랩과 CrySys 랩은 "MiniDuke"라 불리는 새로운 악성 프로그램을 외부에 설명했다. "MiniDuke" 는 유럽에서 정부 기관 및 교육 기관을 공격했다. 보안 전문가에 따르면 우크라이나, 포루투갈, 루마니아 등의 정부 기관이 대상이 되었다고 한다.
 
MiniDuke 는 PDF 를 통해 컴퓨터를 감염시키는 방법을 찾았다. 악의적인 해커는 매우 믿을 만 하고 겉보기에 실제 PDF 와 같은 파일을 개발했다. 한 번 파일이 컴퓨터에 다운로드 되면  어셈블러로 작성된 단지 20KB 크기의 익스플로잇이 어도비 리더 9, 10, 11 버전에 있는 패치가 되지 않은 취약점을 이용한다.
 
한 번 다운로드 된 프로그램은 컴퓨터에서 계속 실행되고 있다. 그리고 고유 식별자를 생성하고 생성자로 되어 있는 통신을 암호화한다. 또한 해당 파일이 이상이 없다고 하는 안티 바이러스와 보안 전문가를 속이는 내장된 메커니즘이 있다.
 
카스퍼스키에 따르면 해당 장소에 있는 모든 검사 및 보호 후 이 소프트웨어는 사전에 생성된 계정에 트윗을 찾기위해 트위터에 연결된다. 이러한 트윗은 GIF 파일을 통해 명령을 전송하고 다른 백도어를 열 수 있는 암호화된 URL 로 있는 백도어가 태그에 포함한다.
 
백도어가 특히 악성이다. 컴퓨터에서 실행되면, 해커가 파일에 접근, 이동, 삭제 또는 디렉토리 생성을 허용할 수 있다.
 
해커는 지난 주에 업데이트 된 어도비에서 패치한 버그를 익스플로잇하고 있었다. 이 사실은 프로그램이 충돌이 발생할 수 있고 감염된 컴퓨터를 통해 공격자가 제어를 할 수 있다. 어도비는 업데이트 하기 전 공격자가 익스플로잇 할 수 있는 취약점을 인정했다. 하지만 이러한 공격에 특성에 대한 자세한 정보는 제공하지 않았다.
 
그러나 카스퍼키에 따르면 공격자들은 여전히 활동하고 20일에 최신 MiniDuke 업데이트가 나왔다고 한다. 이것은 해커들인 패치에 대한 해결책을 발견할 수 있다는 것을 나타낸다.
 
해커가 훔치고 싶어하는 것이 무엇인지는 분명하지 않다. 그러나 정부 기관을 공격한 것은 몇 몇 인사이트를 제공한다.
 
CNET 은 해킹에 대해 댓글로 어도비에 연락을 했다. 더 많은 정보가 축적되면 업데이 할 예정이다.
 
<참고사이트>
-news.cnet.com/8301-1009_3-57571571-83/miniduke-malware-takes
 
About 김재기 객원기자


아이넷캅 소속. AhnLab 대학생 기자단 활동 경험. System, Forensic 등에 관심. 주요 연구 내용은 Android 관련 모든 것. 장래희망은 보안&해킹을 꾸준히 공부해서 나라에 도움이 되는 보안전문가가 되는 것.
운영하는 블로그: jack2.codebreaking.org
 
[데일리시큐 김재기 객원기자 jack2yo@gmail.com]