알서포트 스쿱정보통신 지티원 비젠트로 알티베이스 데이터스트림즈 가온아이 마크애니 인프라닉스 파수닷컴 포시에스
05.27
주요뉴스
뉴스홈 > 보안/해킹
PC버전 텔레그램 취약점 악용한 악성코드 발견백도어 및 마이닝 악성코드로 활용…카스퍼스키랩, 텔레그램 사용자 주의 당부

   
 
[아이티데일리] 카스퍼스키랩(한국지사장 이창훈)은 PC버전 텔레그램의 제로데이 취약점을 이용한 신종 악성 코드 공격을 발견했다고 14일 밝혔다.

이 취약점을 통해 다목적 악성 코드가 설치되며, PC에 따라 백도어 역할을 하거나 채굴 소프트웨어를 설치하는 도구 역할을 한다. 조사 결과에 따르면 2017년 3월 이후로 이 악성코드는 ‘모네로(Monero)’, ‘Z캐시(Zcash)’ 등 암호화폐의 채굴 작업에 활용된 것으로 밝혀졌다.

텔레그램 제로데이 취약점은 RLO(Right-to-Left Override) 유니코드 기법을 사용하는 것으로 알려졌다. 이 기법은 아랍어나 히브리어 등 오른쪽에서 왼쪽 방향으로 쓰는 언어를 코딩하는 데 주로 사용되지만, 악성코드 개발자들도 사용자들을 속이기 위해 악성 파일을 이미지 파일 등 정상 파일인 것처럼 위장하는 데 이 기법을 이용하고 있다.

공격자가 문자의 순서를 반대로 뒤집는 유니코드 문자를 파일 이름에 숨겨놓기 때문에 파일 이름이 자체적으로 변경된다. 그 결과 사용자는 숨겨진 악성코드를 다운로드하게 되며 악성 코드가 컴퓨터에 설치된다.

카스퍼스키랩 연구진은 분석 중 공격자에 의해 제로데이 익스플로잇이 전개되는 시나리오를 밝혀냈다. 첫 단계로 취약점을 통해 채굴 악성코드가 설치된다. 공격자는 피해자의 PC를 활용해 암호화폐를 채굴하기 때문에 이 악성코드는 사용자에게 큰 피해를 입힌다. 뿐만 아니라 공격자 서버를 분석하는 중에 사용자로부터 탈취한 텔레그램 로컬 캐시가 포함된 아카이브도 발견됐다.

두 번째로는 취약점을 통해 피해자 PC에 침입한 후 텔레그램 API를 C&C 프로토콜로 사용하는 백도어가 설치된다. 이를 통해 해커는 피해자 컴퓨터에 대한 원격 액세스 권한을 확보한다. 설치 완료 후 이 백도어는 은밀히 작동하기 때문에 공격자가 네트워크에 탐지되지 않은 상태로 스파이웨어 설치 등 다양한 명령을 실행할 수 있다.

이창훈 카스퍼스키랩코리아 지사장은 “카스퍼스키랩에서는 일반적인 악성 코드와 스파이웨어 외에도 작년부터 공격 트랜드인 채굴 소프트웨어를 설치하는 제로데이 익스플로잇 공격 시나리오를 몇 가지 밝혀냈다”며, “게다가 이번 제로데이 취약점을 악용하는 다른 방법도 있을 것으로 추측된다”고 말했다.

한편, 카스퍼스키랩은 벨기에 경찰청과 수사 중에 입수한 크라이아클(Cryakl) 랜섬웨어용 복호화 키를 무료로 배포한다고 밝혔다.

인기기사 순위
(우)08592 서울시 금천구 가산디지털2로 14 대륭테크노타운 12차 1314호 (주)ITMG
TEL:02-2029-7200  FAX:02-2029-7220  사업자등록번호:106-86-40304
개인정보/청소년보호책임자:김선오  등록번호:서울 아 00418  등록일자:2007.08  발행인:김용석  편집인:김용석