출처 : 보안뉴스

https://www.boannews.com/media/view.asp?idx=101341&page=1&kind=1

탐지 방해 기능 잔뜩 가지고 있는 트로이목마, 4년여 만에 처음으로 발견돼

요약 : 최소 2018년부터 우주항공 업체들과 통신사들을 겨냥한 데이터 정보 탈취 캠페인이 뒤늦게 발견됐다. 공격자들은 이란의 해커들로 보이며 셸클라이언트(ShellClient)라는 멀웨어를 주로 사용해 왔다고 한다. 주로 중동, 미국, 유럽, 러시아의 기업들이 피해를 입은 것으로 분석되고 있으며 우주항공 업체와 통신사들이 구축하거나 관리하는 사회 기반 시설들에 대한 정보를 탈취하는 것이 주 목적인 것으로 보인다. 

배경 : 공격의 배후에 있는 것으로 추정되는 건 말카막(MalKamak)이라는 해킹 그룹으로 현재까지 한 번도 그 정체가 문서로 공개된 적이 없다. 이란의 유명 해커 그룹은 챠퍼 APT(Chafer APT)와 아그리우스 APT(Agrius APT) 등이 있는데, 말카막과 이 그룹들의 관련성도 현재 분석되고 있는 중이다.

말말말 : “셸클라이언트는 일종의 원격 접근 도구(RAT)로, 드롭박스 클라이언트를 C&C로 사용하기도 하는 등 탐지를 회피하기 위한 고급 기능을 다량으로 탑재하고 있습니다. 오픈소스 도구인 코스투라(Costura)를 기반으로 하고 있습니다.” -사이버리즌-
[국제부 문가용 기자(globoan@boannews.com)]