상세 컨텐츠

본문 제목

Adwind RAT이 돌아왔다! 크로스 플랫폼 멀웨어, 항공 우주 업계 노려

국내외 보안동향

by 알약(Alyac) 2017. 7. 13. 11:06

본문

Adwind RAT Returns! Cross-Platform Malware Targeting Aerospace Industries


최근 보안연구원들이 Java로 작성 된 RAT악성코드 Adwind가 다시 등장하였다고 밝혔습니다. 이 악성코드는 항공 우주 업계를 타겟으로 하며, 가장 많은 피해를 입은 국가는 스위스, 오스트리아, 우크라이나, 미국이라고 밝혔습니다. 


AlienSpy, Frutas, jFrutas, Unrecom, Sockrat, JSocket, jRat으로도 알려진 Adwind는 2013년도부터 개발되었으며, 윈도우, 맥, 리눅스, 안드로이드를 포함한 모든 주요 OS들을 감염시킬 수 있습니다.


Adwind는 계정정보 탈취, 스크린샷을 통한 정보탈취, 데이터 수집, 데이터 유출 등의 악성기능을 포함하고 있습니다. 심지어 감염 기기들을 봇넷으로 만들어 DDoS 공격에 이용할 수도 있습니다. 


보안 연구원들은 2017년 6월부터 Adwind 감염수가 급격히 증가하는 것을 발견했습니다. 이는 최소 117,649건으로 지난달과 비교했을 때 107%나 증가한 수치입니다. 


이 악성캠페인은 두번 나타났습니다. 


첫번째는 6월 7일, 스파이웨어 기능을 포함한 .NET으로 작성된 악성코드로 사용자들의 클릭을 유도하는 링크를 사용했으며, 두번째는 6월 14일로 악성코드 호스팅용 C&C서버로 다른 도메인을 사용했습니다. 


이 두 경우 모두 사회공학적 기법을 이용하여 사용자들이 스팸메일 내 악성링크를 클릭하도록 유도하였습니다. 


해당 악성코드는 사용자 디바이스를 감염시킨 후, 시스템의 fingerprint 및 설치된 백신, 방화벽 프로그램의 리스트를 수집합니다. 


보안연구원들은 “이는 Java의 동적 코드 생성인 reflection을 수행할 수도 있다. 후자는 개발자/프로그래머들이 동적으로 런타임의 속성 및 클래스를 검사, 호출, 인스턴스화 할 수 있도록 도와주는 Java의 유용한 기능이다. 범죄자는 이를 악용해 일반적인 안티바이러스 솔루션의 정적 분석을 회피할 수 있다.”고 밝혔습니다.


이러한 악성 코드로부터 컴퓨터를 보호하려면, 이메일 첨부파일을 항상 의심하고, 출처를 확인하기 전 까지는 문서 내에 포함 된 링크를 클릭하지 않아야 합니다.


또한 시스템 및 백신을 항상 최신 버전으로 유지해야 합니다. 


알약에서는 해당 악성코드에 대하여 Trojan.GenericKD.5520764, Java.Trojan.GenericGB.4763, Trojan.Java.Adwind, Java.Trojan.GenericGB.162로 탐지하고 있습니다. 






출처 : 

http://thehackernews.com/2017/07/adwind-rat-malware.html

http://blog.trendmicro.com/trendlabs-security-intelligence/spam-remote-access-trojan-adwind-jrat/


관련글 더보기

댓글 영역