CCleaner 멀웨어, 거대 IT 기업들을 백도어에 감염 시켜

CCleaner Malware Infects Big Tech Companies With Second Backdoor

CCleaner의 다운로드 서버를 하이잭해 악성 버전의 소프트웨어를 배포한 해커들이 2단계 페이로드를 통해 최소 20개의 주요 글로벌 기술 기업들을 노리고 있는 것으로 나타났습니다.

이번주 초 CCleaner 해킹 사건(▶ 참고)이 보도 되었을 때, 연구원들은 사용자들에게 2단계 악성코드는 없었기 때문에 악성 소프트웨어를 제거하기 위해서는 버전 업데이트만 진행하면 된다고 말했었습니다.

하지만, 악성 버전의 CCleaner가 연결 된 해커의 C&C 서버를 분석해본 결과 보안 연구원들은 2단계 페이로드 (GeeSetup_x86.dll, 경량 백도어 모듈)이 로컬 도메인 명을 기반으로 특정 컴퓨터 리스트들에 전달된 것을 발견했습니다.

영향을 받은 기술 회사들 

C&C 서버의 설정 파일에 미리 정의 된 목록에 따르면, 이 공격은 주요 기술 회사들의 네트워크 내부의 컴퓨터를 찾아 2단계 페이로드를 전달하도록 설계 되어 있었습니다. 타겟 회사들 중 일부는 아래와 같습니다:

구글

마이크로스프트

Cisco

Intel

삼성

소니

HTC

Linksys

D-Link

Akamai

VMware

연구원들은 이 데이터베이스에서 CCleaner의 악성 버전(1단계 페이로드)에 감염 된, 백도어가 열린 기기들 약 70만대를 발견했습니다. 그리고 시스템 내부 깊숙한 곳에 발판을 마련하기 위해 2단계 페이로드에 감염 된 최소 20대의 기기들도 발견 되었습니다.

CCleaner의 해커들은 도메인 명, IP 주소, Hostname을 기반으로 이 20대의 기기를 선택했습니다. 연구원들은 이 2단계 악성코드가 산업 스파잉을 위한 것으로 추측했습니다.

CCleaner 악성코드, 중국 해킹 그룹과 연관 있어

연구원들에 의하면, 이 CCleaner 악성코드는 정교한 중국 해킹 그룹인 Axiom(APT17, Group 72, DeputyDog, Tailgater Team, Hidden Lynx, AuroraPanda 등으로도 알려짐)이 사용한 해킹 툴들과 동일한 코드를 사용합니다.

또한 공격자의 서버에 있는 구성파일들 중 하나가 중국 시간에 맞춰져 있어, CCleaner 공격이 중국에서 일어난 것으로 추측해볼 수 있습니다. 하지만 이 것만으로는 증거가 충분하지 않습니다.

연구원들은 영향을 받은 기술 그룹들에 데이터 유출 사건 등이 있을 수 있다고 제보한 상태입니다.

악성 CCleaner 버전을 제거하는 것 만으로 충분하지 않아

감염 된 컴퓨터에서 CCleaner를 제거하는 것 만으로, 아직 활성화 되어 있는 공격자의 C&C 서버와 CCleaner의 2단계 악성코드 페이로드를 제거하기에는 충분하지 않습니다.

따라서, 영향을 받은 기술 회사들 중 악성 버전의 CCleaner에 감염 된 컴퓨터가 있다면 해당 프로그램을 설치하기 전으로 시스템을 복원시키는 것을 강력히 추천합니다.

출처 :

http://thehackernews.com/2017/09/ccleaner-malware-hacking.html