메일 보내기

솔루션 검색 데모요청 TOP

RSS Feed 받기

로그인 정보로 피드받기
입력한 이메일로 피드받기

보안뉴스

텔레그램 메신저의 제로데이 취약점을 악용해 유포된 다목적 악성 코드
 
최근 카스퍼스키랩 연구진은 PC 버전 텔레그램의 제로데이 취약점을 이용한 신종 악성 코드 공격을 발견했다. 이 취약점을 통해 다목적 악성 코드가 설치되었으며, PC에 따라 이 악성 코드는 백도어 역할을 하거나 채굴 소프트웨어를 설치하는 도구 역할을 하기도 했다. 조사 결과에 따르면 2017년 3월 이후로 이 취약점은 Monero, Zcash 등 암호화 가상화폐의 채굴 작업에 활용된 것으로 밝혀졌다.

오늘날 친구와 가족, 사람 간의 소통을 이어주는 소셜 메신저 서비스는 필수적인 요소로 자리를 잡았지만, 사이버 공격을 받을 경우 큰 혼란을 초래하는 원인이 되기도 한다. 지난 달 카스퍼스키랩에서 출간한 보고서에 수록된 지능형 모바일 악성 코드 Skygofree 트로이목마가 대표적인 예일 것이다. 이 악성 코드는 WhatsApp 메시지를 가로채는 기능을 가지고 있다. 최근 조사에서는 유명한 인스턴트 메신저 PC 버전의 알려지지 않은 새로운 취약점을 이용한 공격도 발견되었다.

텔레그램 제로데이 취약점은 RLO(Right-to-Left Override) 유니코드 기법을 사용하는 것으로 알려졌다. 이 기법은 아랍어나 히브리어 등 오른쪽에서 왼쪽 방향으로 쓰는 언어를 코딩하는 데 주로 사용되지만 악성코드 개발자들도 사용자들을 속이기 위해 악성 파일을 이미지 파일 등 정상 파일인 것처럼 위장하는 데 이 기법을 사용한다.

공격자가 문자의 순서를 반대로 뒤집는 유니코드 문자를 파일 이름에 숨겨놓기 때문에 파일 이름이 자체적으로 변경되는 것이다. 그 결과 사용자는 숨겨진 악성 코드를 다운로드하게 되며 악성 코드가 컴퓨터에 설치된다. 카스퍼스키랩은 텔레그램에 이 취약점을 보고했고, 보고서 출간 당시에는 이 제로데이 취약점이 메신저에서 관찰되지 않고 있었다.

분석 중에 카스퍼스키랩 연구진은 공격자에 의해 제로데이 익스플로잇이 전개되는 시나리오를 밝혀냈다. 첫 단계로 취약점을 통해 채굴 악성 코드가 설치된다. 피해자의 PC를 활용하여 사이버 범죄자들은 Monero, Zcash, Fantomcoin 등의 암호화 가상화폐를 채굴하기 때문에 이 악성 코드는 사용자에게 큰 피해를 입힌다. 뿐만 아니라 공격자 서버를 분석하는 중에 사용자로부터 탈취한 텔레그램 로컬 캐시가 포함된 아카이브도 발견되었다.

두 번째로는 취약점을 통해 피해자 PC에 침입한 후 텔레그램 API를 C&C 프로토콜로 사용하는 백도어가 설치된다. 이를 통해 해커는 피해자 컴퓨터에 대한 원격 액세스 권한을 확보하는 것이다. 설치 완료 후 이 백도어는 은밀히 작동하기 때문에 공격자가 네트워크에 탐지되지 않은 상태로 스파이웨어 설치 등 다양한 명령을 실행할 수 있다.

조사 중에 발견된 증거로 미루어 보아 이 악성 코드의 배후에는 러시아 지역의 사이버 범죄자가 관련된 것으로 추측된다.

카스퍼스키랩코리아의 이창훈 지사장(www.kaspersky.co.kr)은 “인스턴트 메신저의 인기가 정말로 높아진 오늘날 사용자들이 범죄자의 타겟이 되지 않도록 보호해야 하는 개발자의 책무 또한 무겁습니다. 카스퍼스키랩에서는 일반적인 악성 코드와 스파이웨어 외에도 작년부터 공격 트랜드인 채굴 소프트웨어를 설치하는 제로데이 익스플로잇 공격 시나리오를 몇 가지 밝혀냈습니다. 게다가 이번 제로데이 취약점을 악용하는 다른 방법도 있을 것으로 추측됩니다."라고 말했다.

카스퍼스키랩 제품은 이번에 발견된 취약점을 악용한 공격을 탐지하고 차단할 수 있다.

이러한 악성 코드 감염으로부터 PC를 보호하기 위한 카스퍼스키랩의 권고 사항은 다음과 같다.
• 신뢰할 수 없는 출처의 알 수 없는 파일을 다운로드하거나 열어보지 않는다.
• 인스턴트 메신저로 민감한 개인 정보를 공유하지 않는다.
Kaspersky Internet Security 또는 Kaspersky Free 등 믿을 수 있는 보안 솔루션을 설치하여 악성 채굴 소프트웨어를 비롯하여 모든 잠재적인 위협을 탐지하고 차단한다.
발견된 제로데이 취약점과 기술적인 내용에 대한 자세한 정보는 Securelist.com의 블로그 게시물에서 확인할 수 있다.

카스퍼스키랩 소개
1997년 설립되어 2017년 20주년이 된 글로벌 사이버 보안 전문 회사 카스퍼스키랩은 심층적인 보안 위협 인텔리전스와 보안 전문 지식을 바탕으로 전 세계 각지의 기업, 기간 산업 인프라, 정부 및 개인 소비자에게 혁신적인 보안 솔루션과 서비스를 제공하고 있습니다. 카스퍼스키랩은 세계 최고 수준의 엔드포인트 보호 솔루션부터 다양한 특수 분야 전용 보안 솔루션 및 서비스까지 광범위한 제품 포트폴리오를 갖추고서 갈수록 정교해지는 디지털 위협에 맞서 싸우고 있습니다. 전 세계적으로 카스퍼스키랩의 기술을 통해 보호를 받는 사용자 수는 4억 명 이상이며, 27만 곳의 기업 고객이 카스퍼스키랩의 보안 서비스와 솔루션을 이용하고 있습니다.
자세한 내용은 www.kaspersky.com을 참조하십시오.

번호 제목 날짜
107 카스퍼스키랩, AV-TEST 3관왕 달성

2018.03.28 0

2018.03.28
106 5년 연속 최고의 품질을 입증한 카스퍼스키랩

2018.02.23 0

2018.02.23
» 텔레그램 메신저의 제로데이 취약점을 악용해 유포된 다목적 악성 코드

관리자 2018.02.23 40

2018.02.23
104 No More Ransom 프로젝트의 새소식: 벨기에 경찰청, Cryakl 랜섬웨어용 무료 복호화 키 배포

2018.02.23 0

2018.02.23
103 안전한 올림픽을 위한 스마트 시티 보안 구축 가이드

2018.02.23 0

2018.02.23
102 Kaspersky Anti Targeted Attack 플랫폼, ICSA Labs 테스트에서 3분기 연속 100% 탐지율 달성

2018.02.23 0

2018.02.23
101 2017년 Android용 상용 스파이웨어 구매자 전년 대비 약 두 배 증가

2018.01.19 0

2018.01.19
100 빠르게 진화하는 가장 강력한 보안위협, 랜섬웨어의 26%가 기업을 노린다

2018.01.19 0

2018.01.19
99 미흡한 보안 대책으로 클라우드 기반 비즈니스의 성장과 비용 절감에 적신호 발생

2018.01.19 0

2018.01.19
98 매일 36만 개의 신종 악성 파일 탐지, 2016년 대비 11.5% 증가

2018.01.19 0

2018.01.19
97 카스퍼스키랩에서 새로 선보이는 일반 IT 담당자를 위한 온라인 사이버 보안 교육 과정

2017.11.29 0

2017.11.29
96 금융 기관을 노린 Silence 트로이목마

2017.11.29 0

2017.11.29
95 카스퍼스키랩의 3분기 DDoS 인텔리전스 보고서, 봇넷 DDoS 공격과 온라인 게임 및 암호 화폐의 위기

2017.11.29 0

2017.11.29
94 중국어 기반 해킹 조직, 2017년 3분기 지능형 표적 공격의 약 50% 차지

2017.11.29 0

2017.11.29
93 카스퍼스키랩의 2018년 위협 예측: 일반 소프트웨어를 감염시켜 우회 공격하는 공급망 공격 수법 증가 예측

2017.11.29 0

2017.11.29
92 스파이 전쟁: 서로 간 정보 탈취와 복제가 한창인 국가 지원 해킹 조직들

2017.11.07 0

2017.11.07
91 새로운 보안위협 정보 교환 협약으로 더욱 공고해진 인터폴과 카스퍼스키랩의 공조

2017.11.07 0

2017.11.07
90 평균 6.3대의 IT 기기를 보유한 새로운 ‘가정 2.0’ 시대를 위한 보안

2017.11.07 0

2017.11.07
89 초보자도 가능한 ATM 해킹: 아마추어를 대상으로 하는 신종 ATM 해킹 악성 코드 패키지 Cutlet Maker 적발

2017.11.07 0

2017.11.07
88 싱가포르 정부, 카스퍼스키랩의 새로운 사이버 보안 연구에 투자

2017.11.07 0

2017.11.07