보안동향

최신 보안정보를 신속하게 전해드립니다.

[해외동향] Imminent Monitor RAT 네트워크 폐쇄

2019-12-03

국제 사법기구 유로폴에서 Imminent Monitor RAT 네트워크를 폐쇄했다고 발표했다.

IM-RAT는 피해자의 PC를 사이버 범죄자가 조작할 수 있도록 하는 악성코드로, 해당 악성코드를 유포 및 판매하는 국제적인 사이버 범죄 조직에 의해 운영되는 네트워크의 이름이기도 하다.

 

[그림출처: Australian Federal Police Official Facebook, https://www.facebook.com/AusFedPolice/posts/2086117944862131]

 

유로폴과 호주 연방경찰청 및 각국 수사기관이 함께 수행한 이 작전은 IM-RAT(Imminent Monitor Remote Access Trojan)을 구입한 사람, 판매한 사람 모두를 대상으로 하고 있다. 이 작전의 일환으로 IM RAT을 판매하기 위한 frond-end 웹사이트와 C&C 서버 등이 폐쇄되었다. 이로 인해 해당 악성코드는 용할 수 없게되었다. 악성코드를 유포 및 판매한 사이버 범죄자들이 사용한 디바이스(서버, PC, 휴대전화)등도 압수되어 포렌식 조사가 진행중이다. 



IM-RAT 악성코드는 124개국에서 14,500명에게 판매되었으며 수만명 단위의 피해자를 낸 악성코드이다. IM-RAT가 설치되면, 피해자의 PC는 완전하게 공격자에 통제 하에 놓이게 되며, 다음과 같은 행위를 사용자가 알지 못하게 수행할 수 있게 된다.

 

 - 키보드 입력값 탈취

 - 각종 PC에 저장된 데이터, 웹 브라우저에 저장된 패스워드 탈취

 - 피해자의 웹캠 제어

 - 파일 다운로드 및 실행

 - 안티바이러스 솔루션 비활성화

 - 실행중인 프로세스 종료

 - 외의 다른 악성 행위

 

IM-RAT는 위와 같은 다양한 기능을 보유하고 있고, 사용하기 쉬우며, 가격이 25달러에 불과하여 쉽게 구매할 수 있기 때문에 심각한 위협으로 분류된다. 이러한 해킹 도구들은 타겟이 된 사용자의 PC에 인가되지 않은 접근 통해 최종적으로 사용자의 온라인 뱅킹 로그인 정보를 탈취하는 등의 목적으로 폭넓게 이용되어왔다.

 

유로폴의 발표에 따르면, 각국 사법당국은 지난 6월 호주와 벨기에에 있는 IM-RAT의 개발자들에 대해 수색영장을 발부한 이래로 악성코드 판매자와 유포자에 대해서도 수사를 진행하고 있다고 밝혔다. 특히, 영국을 비롯한 여러 유럽국가와 콜롬비아 지역에서 가장 많은 활동을 한 13명의 유포자를 체포한 것으로 확인되었다.

 

유로폴에서 발표한 RAT 악성코드 탐지, 예방 및 대응 대책은 다음과 같다.

 

RAT 악성코드 감염 징후

  • 인터넷 속도가 비정상적으로 느려진 경우
  • 알수 없는 프로세스가 실행된 경우
  • 사용자의 작업 없이 생성, 수정, 삭제된 파일이 있는 경우
  • 알수없는 프로그램이 설치된 경우

 

RAT 악성코드 예방 방법

  • 운영체제 및 보안제품 및 웹 브라우저를 항상 업데이트 할 것
  • 디바이스의 방화벽을 항상 활성화 할것
  • 신뢰할 수 있는 출처의 어플리케이션만 다운로드 할 것
  • 웹캠을 사용하지 않을 경우 가려놓을 것
  • 정기적으로 데이터를 백업할 것
  • 웹 브라우저를 사용할 때 링크, 팝업 등을 항상 경계할 것
  • 웹 브라우저에서 새 창이 열리거나 다운로드될 때 알람을 띄우도록 설정
  • 의심스러운 이메일을 클릭하지 말 것

 

RAT 악성코드 감염 시 대응방법

  • 감염된 디바이스를 최대한 빠르게 네트워크에서 분리할 것
  • 신뢰할 수 있는 경로를 통해 보안제품을 설치할 것
  • 보안 제품을 통해 감염된 디바이스에 대한 통합 검사를 수행할 것
  • 감염된 악성코드가 제거된 경우 패스워드를 변경할 것

 

[Reference]




보안관제센터 MIR Team

목록