2024-03-29 14:30 (금)
[주의] 日·美에 위치한 C&C 연결 악성코드 감염 시도 급증!
상태바
[주의] 日·美에 위치한 C&C 연결 악성코드 감염 시도 급증!
  • 길민권
  • 승인 2013.08.30 19:11
이 기사를 공유합니다

“문제 대역으로 연결되는 PC 점검 필수…좀비PC일 가능성 높아!”
이번주 들어 일본과 미국에 위치한 C&C로 연결하는 악성코드 감염 시도가 매우 활발히 이루어지고 있는 것이 드러났다. 이 중에서도 js.exe 앞에 다운로드 되는 도메인은 수시로 변경되고 있으며 바이너리 md5도 계속 변경되고 있는 상태로 나타났다. 유일한 공통점은 파일명과 감염 이후 연결시도하는 C&C 주소만 동일한 상황이다.
 
빛스캔(대표 문일준) 측은 의심정보 공유를 통해 “기업과 기관의 내부 PC에서 67.198.135.101이나 67.198.135.XX 대역으로 연결하는 PC가 있다면 좀비PC일 가능성이 높다”며 “현재 C&C 봇넷의 활동이 잠시 중단된 상태지만 공격자가 원하는 시점에 추가 다운로드의 배포 등과 함께 공격이 진행될 것으로 예상된다. 현재 많은 PC들이 폭넓은 범위에서 꾸준히 감염되고 있는 상황이다”라고 경고했다.
 
또 “공격자는 악성 바이너리 감염 이후 특정 도메인 주소로 연결을 지속해서 시도하고 있으며 수시로 도메인을 활성화하는 것으로 관찰되고 있다”며 “이번 의심정보의 경우 파밍 공격 이외에도 백도어, 트로이목마들이 연계되어 유포되고 있는 상황에서 홍콩에 위치한 C&C IP가 활성화된 상태에서 추적 분석한 정보를 바탕으로 추가 위험 예방을 위해 정보를 제공한다. 현재 국내 환경을 대상으로 대량 유포된 악성파일의 경우 위험 신호가 관찰되면 비정기적으로 정보를 제공할 예정”이라고 밝혔다.
 
빛스캔 측은 “이번주 유포되는 범위가 넓고 집요한 측면이 있어 별도 정보공유를 실시한다”며 “웹을 통해 감염되는 대량 감염을 통해 발생된 내용이라 앞으로도 수시로 발생될 수 있을 것을 예상된다. 따라서 공격자들의 다양한 공격 형태의 위협들이 감지되어 위협수준을 한단계 향상시켜 ‘주의’레벨로 조정한다”고 덧붙였다.

보다 자세한 사항은 데일리시큐 자료실에서 다운로드 할 수 있다.
 
데일리시큐 길민권 기자 mkgil@dailysecu.com
■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★