이셋 “램지 악성코드, 에어갭 시스템서 사이버 스파이 활동”
중앙아시아 정부·통신·가스 업계 타깃 활동하는 ‘미크로신’도 발견
중앙아시아 정부·통신·가스 업계 타깃 활동하는 ‘미크로신’도 발견
[데이터넷] 인터넷에 연결되지 않은 상태에서 민감정보를 탈취하는 ‘램지(Ramsay)’ 악성코드가 발견됐다. 유럽 보안기업 이셋은 램지가 인터넷이나 온라인 시스템에 연결되지 않은 에어갭 시스템에서 민감한 문서를 수집하고 추출하기 위해 개발된 것으로, 발견된 피해는 많지 않지만 현재 개발 진행중인 것으로 보인다고 19일 밝혔다.
램지 개발자들은 2017년부터 마이크로소프트 워드 프로그램 취약성 공격을 벌여왔으며, 스피어피싱을 통해 트로이목마를 유포시켜왔다. 이번에 발견된 램지는 회피와 지속성 기술을 크게 개선시켰으며, 네트워크에 연결되지 않은 에어갭 환경에서도 작동하도록 설계됐다.
한편 이셋은 백신 기업 어베스트와 협력해 중앙아시아 정부와 통신·가스업계를 대상으로 활동하는 원격 액세스 도구(RAT) 도구 ‘미크로신(Mikroceen)’을 발견했다고 밝히기도 했다. 미크로신은 네트워크에 장기적으로 액세스해 파일을 조작하고 스크린 샷을 찍어 C&C 서버로 보낸다.
이 악성코드는 지속적으로 개발되고 있으며 보안 연구원들은 이 것이 2017년 말부터 다양한 대상 작업에서 백도어 기능과 함께 사용되고 있다. 2008년 제작된 고스트(Gh0st) RAT와 유사성을 갖는다는 특징도 있다.
저작권자 © 데이터넷 무단전재 및 재배포 금지
