AVG, 데이터 절취하는 신형 뭄바 봇넷 공개

Jeremy Kirk | IDG News Service 2010.08.03

AVG의 연구원들이 개인정보를 수집하는 새로운 봇넷을 발견했다. 이 봇넷은 정교한 맬웨어에 폭넓게 사용되고 있는 알려진 제우스 코드의 최신 버전을 사용한 것으로 알려졌다.

 

AVG가 발표한 백서에 따르면, 뭄바(Mumba)라 이름 붙여진 이 봇넷은 4월 말쯤 처음 등장해 약 3만 5,000대 이상의 컴퓨터를 감염시켰다.

 

현재 이 봇넷은 약 5만 5,000대의 컴퓨터로부터 60GB의 데이터를 수집한 상태인데, 이중 절반 이상은 영국과 독일로부터 나온 것이다. 데이터 수집에 사용된 서버를 분석한 결과, 이들 정보에는 신용카드 번호, 이메일, 소셜 네트워킹 사이트의 로그인 패스워드 정보, 은행 계정 정보 등이 포함되어 있다.

 

뭄바는 컴퓨터로부터 정보를 빼내기 위해 최소한 4가지의 제우스 코드 변형을 이용하고 있는데, 제우스는 스팸 발송이나 금융정보 절취는 물론 대규모 DDoS 공격 수행용으로 사용되고 있다.

 

뭄바 생성자는 또 기술력이 떨어지는 사이버 범죄자들에게 판매하기 위한 툴킷도 개발한 것으로 알려졌다. AVG는 최신 제우스 코드인 2.0.4.2 버전은 윈도우 7 운영체제를 지원하고, 파이어폭스 브라우저에서 HTTP 트래픽을 가로챌 수 있다고 설명했다. 또한 현재 뭄바 봇넷은 피싱 사이트에 특화된 단체인 아발린치 그룹이 조정하고 있는 것으로 보고 있다.

 

뭄바 운영자는 봇넷을 감추기 위해 패스트 플럭스(Fast Flux)란 기법을 사용하고 있는데, 이 기법은 관리자가 새로운 IP 주소에 신속하게 도메인 이름을 지정할 수 있다. 이는 원래 트래픽이 높은 웹 사이트에서 대규모 트래픽을 관리하기 위한 리던던시 메커니즘으로 사용되는 것으로, 사이버 범죄자들이 자신들의 C&C 시스템을 차단하기 어렵게 하는 방안으로 사용하고 있는 것이다.

 

AVG의 백서는 “뭄바는 맬웨어 감염과 훔친 정보를 호스팅하기 위해 아발란치를 이용하는 초기 봇넷의 하나”라며, “보안업계와 사이버 범죄자 간의 끝없는 싸움 중 하나가 될 것으로 보인다”고 강조했다.  jeremy_kirk@idg.com

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.