요약 : 보안 외신 해커뉴스에 의하면 레드컬(RedCurl)이라는 사이버 범죄 단체가 윈도 PCA 도구를 악용해 기업들로부터 정보를 빼돌린다고 한다. PCA는 ‘프로그램 호환성 도우미(Program Compatibility Assistant)’라는 뜻으로 여러 프로그램들의 충돌 및 호환성 관련 문제를 찾아내 편리하게 해결해주는 기능을 가지고 있다. 공격자들은 이런 PCA의 특성을 악용해 보안 장치에 걸리지 않으면서 명령을 실행할 수 있게 된다. 현재까지는 이런 방법으로 악성 DLL 파일 형태의 다운로더가 피해자의 컴퓨터에 설치되며, 결국 여러 정보를 훔쳐내는 데에까지 이르는 것으로 조사됐다. 정확한 피해 규모는 아직 집계되지 않고 있다.

레드컬, 윈도 시스템 내 PCA를 악용하여 정보 탈취 공격 진행

[이미지 = gettyimagesbank]

배경 : 레드컬은 어스케이퍼(Earth Kapre)나 레드울프(Red Wolf)라고도 불리는 공격 단체다. 최소 2018년부터 활동해 온 것으로 알려져 있다. 러시아의 해킹 조직일 가능성이 높지만 정부와의 연결성은 확실하지 않다. 호주, 캐나다, 독일, 러시아, 슬로베니아, 영국, 우크라이나, 미국의 기업들을 다양하게 공격해 왔다.

말말말 : “레드컬의 표적에는 특별한 패턴이 발견되지 않습니다. 아무 국가의 아무 조직이나 닥치는 대로 공략하는 것으로 보입니다. 심지어 파워셸과 curl 남용 등 꽤나 고도화 된 기술도 활용합니다. 누구라도 레드컬에 당할 수 있다는 소리입니다.” -트렌드마이크로(Trend Micro)-
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>