중국에서 사업을 전개하고 있는 기업에서 시스템 정보를 수상한 중국의 도메인으로 보내는 사례가 있어서 보안기업 Trustwave SpiderLabs가 조사를 실시한 결과, 은행으로부터 설치를 요구받은 소프트웨어에 의해 백도어가 설치되어 임의의 바이너리를 업로드하면 실행할 준비가 되어 있었다는 것을 알 수 있었습니다. Trustwave SpiderLabs는 이 파일을 'GoldenSpy'라고 명명하고 있습니다.
The Golden Tax Department and the Emergence of GoldenSpy Malware | Trustwave
Chinese bank requires foreign firm to install app with covert backdoor | Ars Technica
해당 파일은 Trustwave의 고객 기업이 중국에서 영업을 시작할 즈음, 현지 은행으로부터 설치를 요구받은 아이시노 제작의 세무용 소프트웨어 'Intelligent Tax'에 포함되어 있었다고 합니다.
Trustwave가 'GoldenSpy'라고 이름 붙인 이 파일은 일반적으로 선전된대로 세무 소프트웨어로 동작하는 한편, 시스템에 백도어를 만들고 랜섬웨어나 트로이목마 등 모든 바이너리를 업로드하고 수행할 수 있게 되어 있었습니다.
조사에 따르면, Intelligent Tax의 설치 프로세스가 완료되고 2시간이 경과한 후 이 파일을 다운로드&설치하는데, 다운로드 및 설치 완료를 일절 알리지 않습니다. 이 지연 동작으로 인해 피해자는 GoldenSpy를 설치된 것을 인식하기 어렵게 되어 있었습니다.
또한 GoldenSpy는 2개의 동일한 버전을 자동시작 서비스에 등록하고, 하나가 중지되어도 다른 한쪽이 다시 시작하는 구조로 되어 있다고 합니다. 또한 모니터링 모듈이 제거되면 새로운 버전을 다운로드하고 실행하도록 되어 있어, 감염된 시스템에서 파일을 삭제하는 것이 매우 어렵다고 합니다. 물론 Intelligent Tax가 제거되어도 GoldenSpy는 제거되지 않습니다.
Trustwave의 고객 기업의 경우 GoldenSpy가 설치되어 있었지만, 중요한 데이터에 액세스하기 위해 표적이 된 것인지, 중국에서 사업을 하는 기업 모두가 표적인 것인지는 분명하지 않다고 합니다.
Trustwave의 애널리스트에 따르면 GoldenSpy의 활동은 2016년 12월까지 거슬러 올라가도 확인이 가능하였지만, 실제로 백도어로 사용된 흔적은 이번 2020년 4월의 사례가 처음이라고 합니다.
'IT' 카테고리의 다른 글
| 클라우드의 장단점 총정리 (0) | 2020.07.05 |
|---|---|
| 하드디스크 암호화의 장점과 단점 (0) | 2020.07.04 |
| WiFi의 평균속도는 어느 정도? 목적별 기준과 기초지식 (0) | 2020.06.30 |
| 동작이 경쾌하고 확장성이 뛰어난 MusicBee의 장점 [음악관리] (0) | 2020.06.29 |
| AI로 이미지를 보완 및 확대해 주는 툴 'waifu2x'이란? (0) | 2020.06.29 |
| 다양한 패스워드를 관리하는 방법 총정리 (0) | 2020.06.28 |
| Google의 인증시스템 돌파를 노리는 Android 악성코드가 출현 (0) | 2020.06.28 |
| iTunes에서 방대한 곡을 효율적으로 관리하는 스마트 재생목록 활용 (0) | 2020.06.28 |
