2020.06.16

이셋, 사이버스파이 그룹 툴라의 컴랫 백도어의 신종 보고

편집부 | CIO KR
이셋코리아(www.estc.co.kr)가 사이버 스파이 그룹인 툴라(Turla)가 사용하는 맬웨어 중 하나인 컴랫(ComRAT)의 최신 버전을 발견했다고 밝혔다.

업데이트된 백도어의 가장 흥미로운 점이 지메일(Gmail) 웹UI를 사용한다는 것이다. 

컴랫은 2017년부터 최소 3개의 정부 기관을 공격해 민감한 문서를 훔쳤고, 2020년 초에도 여전히 사용되고 있는 것으로 나타났다. 이는 툴라 그룹이 여전히 활발히 활동하고 있으며, 외교 및 군사적으로 큰 위협이 되고 있다는 것을 보여준다. 

컴랫의 주요 용도는 기밀 문서를 훔치는 것으로, 어떤 경우에는 운영자가 .NET 실행 파일을 배포해 조직의 문서가 포함된 피해자의 중앙 MS SQL 서버 데이터베이스와 상호 작용할 수도 있다. 맬웨어 운영자는 원드라이브(OneDrive) 및 포셰어(4shared)와 같은 퍼블릭 클라우드 서비스를 사용해 데이터를 유출했다.

툴라의 최신 백도어는 감염된 컴퓨터에서 추가적인 프로그램 실행 및 파일 유출과 같이 다른 많은 작업을 수행할 수 있다.

이셋 관계자는 “지메일 웹 인터페이스를 사용하는 최신 버전의 컴랫 맬웨어 제품군은 악성 도메인에 의존하지 않기 때문에 일부 보안 제어를 우회할 수 있다”며, “완전히 새로운 코드 기반을 사용하며 이전 모델 보다 훨씬 더 복잡하다”고 설명했다. ciokr@idg.co.kr



2020.06.16

이셋, 사이버스파이 그룹 툴라의 컴랫 백도어의 신종 보고

편집부 | CIO KR
이셋코리아(www.estc.co.kr)가 사이버 스파이 그룹인 툴라(Turla)가 사용하는 맬웨어 중 하나인 컴랫(ComRAT)의 최신 버전을 발견했다고 밝혔다.

업데이트된 백도어의 가장 흥미로운 점이 지메일(Gmail) 웹UI를 사용한다는 것이다. 

컴랫은 2017년부터 최소 3개의 정부 기관을 공격해 민감한 문서를 훔쳤고, 2020년 초에도 여전히 사용되고 있는 것으로 나타났다. 이는 툴라 그룹이 여전히 활발히 활동하고 있으며, 외교 및 군사적으로 큰 위협이 되고 있다는 것을 보여준다. 

컴랫의 주요 용도는 기밀 문서를 훔치는 것으로, 어떤 경우에는 운영자가 .NET 실행 파일을 배포해 조직의 문서가 포함된 피해자의 중앙 MS SQL 서버 데이터베이스와 상호 작용할 수도 있다. 맬웨어 운영자는 원드라이브(OneDrive) 및 포셰어(4shared)와 같은 퍼블릭 클라우드 서비스를 사용해 데이터를 유출했다.

툴라의 최신 백도어는 감염된 컴퓨터에서 추가적인 프로그램 실행 및 파일 유출과 같이 다른 많은 작업을 수행할 수 있다.

이셋 관계자는 “지메일 웹 인터페이스를 사용하는 최신 버전의 컴랫 맬웨어 제품군은 악성 도메인에 의존하지 않기 때문에 일부 보안 제어를 우회할 수 있다”며, “완전히 새로운 코드 기반을 사용하며 이전 모델 보다 훨씬 더 복잡하다”고 설명했다. ciokr@idg.co.kr

X