2024-10-07 03:45 (월)
가짜 팔로알토네트웍스 글로벌프로텍트로 위장한 악성코드 발견
상태바
가짜 팔로알토네트웍스 글로벌프로텍트로 위장한 악성코드 발견
  • 길민권 기자
  • 승인 2024.09.01 21:59
이 기사를 공유합니다

최근 사이버 보안 연구원들이 중동 지역을 겨냥한 새로운 사이버 공격 캠페인을 발견했다. 이 캠페인은 팔로알토네트웍스 글로벌프로텍트 VPN 도구로 위장한 고도로 정교한 악성코드를 사용하고 있어 큰 우려를 낳고 있다.

이번 공격은 트렌드마이크로 연구진에 의해 처음 밝혀졌으며, 악성코드의 고도화된 기능과 탐지를 회피하는 능력 덕분에 보안 전문가들 사이에서 주목받고 있다.

이 악성코드는 피싱 캠페인을 통해 배포되는 것으로 보인다. 사용자는 `setup.exe`라는 파일을 다운로드하게 되며, 이 파일을 실행하면 VPN 설치 프로그램으로 위장한 백도어 구성 요소(`GlobalProtect.exe`)가 시스템에 설치된다. 설치가 완료되면, 이 백도어는 시스템 정보를 수집하고, 수집된 정보를 공격자의 명령 및 제어(C2) 서버로 전송한다.

특히 이 악성코드는 다단계 감염 과정을 통해 시스템 정보를 수집하고, 샤르자(아랍에미리트의 한 도시) 기반 VPN 포털로 위장한 `sharjahconnect`라는 도메인을 사용하여 네트워크 트래픽에 자연스럽게 녹아들어 탐지를 회피한다.

이 악성코드는 C#으로 작성되었으며, 원격 파워쉘 명령 실행, 파일 업로드 및 다운로드, C2 서버와의 암호화된 통신 등 다양한 기능을 갖추고 있다. AES 알고리즘을 사용한 통신 암호화는 전통적인 보안 도구로 이 악성코드의 통신을 가로채거나 분석하는 것을 어렵게 만든다.

또한, 이 악성코드는 메인 코드 실행 전에 샌드박스 환경을 확인하는 고급 회피 기술을 사용한다. 이러한 기술 덕분에 보안 연구자들이 사용하는 자동 분석 도구를 피해갈 수 있다.

이번 캠페인은 중동의 기업체와 정부 기관 같은 고가치 목표를 겨냥하고 있어 특히 우려스럽다. 팔로알토네트웍스 글로벌프로텍트와 같은 널리 신뢰받는 소프트웨어를 미끼로 사용하는 것은 공격자가 안전한 네트워크를 침투하려는 의도가 명확하다는 것을 보여준다.

사이버 보안 전문가들은 피싱 이메일과 의심스러운 다운로드에 대해 특히 경계해야 한다고 강조하고 있다. 보안 프로토콜의 정기적인 업데이트, 피싱의 위험성에 대한 직원 교육, 네트워크 트래픽에 대한 비정상적인 활동 모니터링이 이러한 위협을 완화하기 위한 중요한 조치로 강조되고 있다.

이번 악성코드 캠페인의 발견은 중동 지역에서 진화하는 사이버 위협의 고도화를 여실히 보여준다. 공격자들이 정당한 도구와 고급 회피 기술을 활용해 공격 수법을 계속해서 개선해 나가고 있는 만큼, 민감한 데이터와 운영 무결성을 보호하기 위해서는 조직들이 선제적인 사이버 보안 조치를 취해야 할 필요성이 더욱 커지고 있다.  

[PASCON 2024] 하반기 최대 사이버보안 컨퍼런스 초대!(보안담당자 7시간 보안교육이수)

▶주최: 데일리시큐

▶후원: 과학기술정보통신부, 개인정보보호위원회, 한국인터넷진흥원, 한국정보보호산업협회  

▶대상: 정부·공공·공기업·정부산하기관·금융·의료·교육·일반기업 개인정보보호 및 정보보안 담당자 1,000여명 (단, 현업 보안실무자 이외 프리랜서, 학생, 일반인 등은 보안과 관련 없는 자는 참석 금지)

▶일시: 2024년 9월 10일 화요일 오전 9시~오후 5시

▶장소: 더케이호텔서울 2층 가야금홀+거문고홀A 및 로비

▶인원: 개인정보보호 및 정보보안 실무자 1,000여 명

▶전시회: 국내외 최신 보안솔루션 전시회(30여개 기업 참여)

▶참가비: 무료/1일 주차권 지급/점심식사는 제공하지 않습니다.

▶보안교육: 사전등록+현장참석+설문제출자에 한해 7시간 교육이수증 발급

▶사전등록: 9월 8일 오후 5시 마감

▶사전등록링크:클릭

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★

■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★