인터넷에서 격리된 PC에서도 정보를 탈취하는 악성코드가 발견됐다. 또한 오스트레일리아에서 열린 G20 정상회담을 미끼로 한 타깃 공격도 나타났다.
안티바이러스 솔루션 이셋(ESET)의 한국 법인 노드32코리아(www.nod32korea.co.kr)는 이셋의 보고서를 인용해 이같이 밝히며 다양한 방법으로 PC를 감염시키는 악성코드를 대비해 항상 안티바이러스 프로그램의 실시간 보호 기능을 작동시키고 최신 시그니처DB 업데이트를 유지해야 한다고 권고했다.
G20 정상회담을 미끼로 유포된 악성코드는 ‘Win32/Farfli’로, 티벳 NGO를 노리고 유포됐다. Gh0st RAT라고도 불리는 Win32/Farfli는 MS 워드의 CVE-2014-0158 취약점을 이용한 문서 파일로, G20 정상회담 기간 동안 티벳의 인권 문제 해결을 위한 활동 참여를 요청하는 이메일에 첨부되어 유포되고 있으며 문서 파일을 여는 동시에 PC를 감염시키고 제어권을 탈취한다.
또한 유명한 국제 사이버 스파이 그룹 ‘세드니트(Sednit)’가 유포한 최신 바이러스는 외부 인터넷과 격리된 에어갭 네트워크 상의 PC 정보를 탈취하는 것이다. 인터넷과 연결된 PC와 보안을 위해 물리적으로 분리돼 있는 PC 사이의 통신은 일반적으로 USB메모리를 이용한다는 점을 노린 Win32/USBStealer는 공격 대상의 정보를 탈취하기 위해 4단계에 걸친 공격을 시도한다.
우선 인터넷에 연결된 PC의 USB메모리에 러시아 USB 디스크 보안 프로그램으로 위장한 실행 파일을 감염시킨 후 격리된 PC에 감염된 USB메모리가 삽입되면 이를 인지해 수집할 파일 리스트 생성한다.
USB 메모리가 인터넷에 연결된 PC에 다시 삽입되면 원격지의 해커에게 파일 리스트를 전송하고, 해커는 이를 수집하도록 명령을 내리고, USB 메모리가 격리된 PC에 삽입되면 해커가 명령한 파일을 수집한다.
