하우리에 따르면, 7월 7일 월요일 오후 1시쯤부터 다수의 국내 웹사이트를 통해 국내 온라인 결제모듈 ActiveX 업데이트 파일 변조 취약점 및 국내 DRM 제품모듈 ActiveX 취약점 등을 이용하여 3.20 악성코드의 최신 변종 시리즈가 유포됐다.
해당 악성코드에 감염되면 감염 정보를 1차 C&C 서버로 전송하며 추가적인 명령을 수신하여 악성행위를 수행하게 된다. 1차 C&C 서버는 대부분 제로보드, 케이보드 등 국내 게시판을 사용하는 웹사이트로 국내 게시판의 취약점을 이용하여 C&C 서버를 확보한 것으로 추정된다.
특히 해당 악성코드가 접속하는 C&C 서버 중 일부는 2013년 3.20 방송, 금융 사이버테러의 악성코드가 사용한 C&C 서버와 일치하고, 명령을 수신하여 복호화하고 정보를 C&C 서버로 전송하는 암호화 로직이 3.20 악성코드와 동일한 로직을 사용하고 있다고 회사 측은 설명했다.
1차 C&C 서버로부터 명령을 수신 받아 추가적으로 다운로드하여 실행하는 악성코드는 TOR C&C 서버를 2차 C&C 서버로 사용한다.
TOR C&C는 작년 6월 25일에 정부 DNS 서버를 대상으로 디도스 공격을 수행한 악성코드가 사용되었으며, TOR C&C 서버를 통해서 추가적인 명령을 수신하여 악성행위를 수행하도록 되어 있다.
최상명 차세대보안연구센터장은 "1차 C&C 서버와 2차 TOR C&C 서버를 통해 추가로 수신하는 암호화된 명령을 해독하며 예의주시 중이다"라고 말했다.
<저작권자 © ‘존중받는 개인, 부강한 대한민국’ 시대, 무단전재 및 재배포 금지>