중국 해킹 악성 코드

美 정보기관은 정부, 기업 및 싱크탱크를 표적으로 삼는 중국의 국가 후원 해커 조직이 사용하는 12년 된 컴퓨터 바이러스의 새로운 변종에 대한 정보를 공개했다.

“Taidoor”라는 이름의 이 악성코드는 빠르면 2008년 부터 활동을 시작해 온 것으로 알려졌으며, 시스템을 손상시키고자 원격으로 피해자 네트워크에 접속 및 배포했다.

이와 관련 美 FBI는 중국 국가 후원 행위자들이 프록시 서버를 통해 해당 악성코드의 변종을 사용, 피해자 네트워크에 지속 잠입을 하고 있을 것이라는 높은 확신을 가지고 있다고 언급했다.

또한 美 사이버사령부는 바이러스 토탈에 4개의 Taidoor 관련 RAT 샘플을 업로드하여 다른 기관들이 공격 캠페인을 식별시 해당 바이러스의 사용 여부를 확인할 수 있도록 했다.

하지만 멀웨어 자체는 새로운 것이 아니다. 지난 2012년 트렌드 마이크로 연구자들의 발표에서 Taidoor를 사용하는 공격 행위자들이 PDF 파일에 악성코드를 숨겨 메일을 발송함으로써 대만 정부를 표적으로 삼는 것으로 밝혀졌다.

또한 2013년 파이어아이는 이를 APT 공격으로 언급한 바 있으며, 지난 해에도 NTT시큐리티는 마이크로소프트 워드 문서로 위장한 Taidoor를 통해 일본 기업에 백도어가 심어지고 있다고 발표했다. 해당 문서를 열면 악성코드가 실행돼 공격자가 제어하는 서버와 통신을 설정하고 임의의 명령을 실행한다.

Taidoor는 DLL로 설치되며 메모리에서 실행된다고 한다. 원격 명령을 실행하는 것 외에도 Taidoor는 파일 시스템 데이터를 수집하고, 스크린샷을 캡처할 뿐만 아니라 수집된 정보를 유출하는 데 필요한 파일 작업을 수행할 수 있는 기능을 제공한다.

한 편, 이와 관련 美 CISA는 사용자와 관리자가 운영 체제를 최신 상태로 유지하고, 파일 및 프린터 공유 서비스 비활성화, 강력한 암호 정책을 시행하고 이메일 첨부파일을 열 때 주의할 것을 권장했다.