한국을 포함한 아시아권을 대상으로 한 APT 공격 그룹 ‘G_9090’에 대한 위협 분석 보고서가 공개됐다.
 
NSHC(대표 허영일) 레드얼럿팀(Red Alert)은 분석 보고서를 통해 “G_9090 그룹 악성코드는 피해 시스템의 최상위 권한을 획득한 이후, 조직의 주요 정보 자산을 노출 및 변조 시킬 수 있으며, 2013년 4월 이후로 지금까지 지속적인 공격을 시도하고 있다”며 “활동 초기 사용된 도메인이 중화권인 점과 NSHC 사이버 인텔리전스 채널을 통해 수집된 정보를 종합한 결과 중국에서부터 공격이 시작돼 지금까지 지속적으로 이루어지고 있다”고 분석했다.
 
G_9090의 악성코드는 더미코드를 이용해 스택프레임을 파괴하고 명령제어 서버와 통신은 HTTP 통신으로 이루어진다. 또 17개의 커맨드를 사용하고 있고 각 명령별로 고유의 기능을 갖고 서로 다른 페이지를 요청한다.
 
명령제어 서버 명령을 행위별로 구분해 보면 시스템 사용자 기반 정보수집과 2차 공격 실행 및 플러그인 동작, 백도어 설치로 구분된다.
 
상세한 내용은 레드얼럿팀(Red Alert) 페이스북 페이지와 데일리시큐 자료실에서 다운로드 가능하다.
 
★정보보안 대표 미디어 데일리시큐!★
 
<데일리시큐 길민권 기자> mkgil@dailysecu.com