여러 정부 기관과 비정부 기관의 웹사이트 내 공격 움직임이 포착됐다. 아버네트웍스는이러한 공격 움직임에 대해 “최근 원격 접속 트로이 목마(RAT)인 Trochilus가 발견됐다.  Trochilus는 7단계에 걸쳐 실행되는 멀웨어 클러스터의 일종으로 동아시아에 거점을 둔 공격자가 주도하는 것으로 파악되며 공격자의 보다 전략적인 접근이 가능하도록 대상 네트워크 내 가동성을 떨어뜨리는 장치, 데이터 및 활동 감시 등 다양한 기능을 지니고 있다”고 설명했다.  

 
인터넷 상에서 Trochilus RAT를 발견한 것은 아버네트웍스(Arbor Networks) ASERT(Arbor 보안 엔지니어링 및 대응팀)가 처음이다.
 
2015년, 아버네트웍스 및 기타 연구 기관들은 아시아의 정부 기관 웹사이트를 대상으로 하는 PlugX와 EvilGrab 멀웨어를 발견헸다.
 
지역별 CERT에게 초기 발견 사항을 전달하자 추가로 발생한 멀웨어들이 탐지되고 관련 사이트로부터 제거되었다. 아버의 최초 멀웨어 공지 이후 새로운 멀웨어가 등장한다면 이는 공격이 지속적으로 발생하고 있으며 장기간에 걸쳐 다양한 리소스를 통해 침입하려는 공격자가 있음을 의미한다고 밝혔다.
 
ASERT는 아버 제품의 보안 정책을 업데이트하면서 위협 인텔리전스, 사건 대응 커뮤니티, 수많은 국제 CERT와 전 세계의 네트워크 운영자들과 더불어 주기적으로 운영 방법에 대한 정보와 의견을 공유하고 있다.
 
이처럼 ASERT 위협 인텔리전스 리포트는 기존의 Trochilus 멀웨어 종류에 대한 요약 정보와 맬웨어의 침입 과정에 대한 설명, PlugX, EvilGrab, 9002 RAT 등 전반적인 위협 요인에 대한 정밀 기술 분석 자료를 제공한다.
 
ASERT 위협 인텔리전스 리포트는 데일리시큐 자료실에서 다운로드 가능하다.
 
★정보보안 대표 미디어 데일리시큐!★
 
<데일리시큐 길민권 기자> mkgil@dailysecu.com