원격 데스크톱 프로토콜(RDP)의 취약한 비밀번호나 초기 설정값 파고들어 시스템에 침투
‘질투심 많은 세입자(Jealous Tenant)’... 다른 해커의 접근을 방화벽으로 차단해 독점적 권한 유지

[보안뉴스 김형근 기자] 2016년부터 활동해 온 러시아 연계 봇넷 프로메테이(Prometei)가 최근 윈도우 서버를 대상으로 원격 접속 공격을 감행하고 있다.


사이버시큐리티뉴스 등 외신에 따르면, 이 봇넷은 주로 원격 데스크톱 프로토콜(RDP)의 취약한 비밀번호나 초기 설정값을 치밀하게 파고들어 시스템에 침투한다. 침투 후에는 명령 프롬프트(MCD)와 파워쉘(PowerShell)을 결합한 2단계 배포 명령을 실행해 시스템 권한을 완벽하게 장악한다.

이 봇넷은 또한 ‘UPlugPlay’라는 이름의 윈도우 서비스로 자신을 등록하고, 방화벽 예외 설정이나 백신 제외 처리를 통해 은폐를 시도한다. RC4, RSA-1024 등 다중 암호화 방식을 사용해 C2 서버와의 통신을 통해 보안 장비의 탐지를 교묘히 회피하는 것이 특징이다.

특히 ‘질투심 많은 세입자(Jealous Tenant)’ 행동을 보이면서 다른 해커의 접근을 방화벽으로 차단해 독점적 권한을 유지하려고 한다.

자격 증명 탈취를 위해 미미카츠(Mimikatz) 변종과 SSH 확산 모듈 등을 다운로드해 공격 범위를 크게 넓힌다. 그리고 시스템 정보 수집을 위해 wmic.exe 같은 정상적인 윈도우 도구를 활용해 보안 분석가들을 혼란에 빠뜨린다.

통신의 익명성을 보장하기 위해 일반 웹뿐만 아니라 토르(TOR) 네트워크용 프록시 모듈을 내장해 심각한 보안 위험을 초래한다. 또한 모듈형 아키텍처 덕분에 각 공격 구성 요소가 독립적으로 업데이트돼 방어 체계를 정밀하게 무력화할 수 있다.

보안 연구팀은 이 봇넷을 탐지하기 위해 YARA 룰과 파이선 유틸리티를 개발하는 등 대응책을 마련 중이다.

기업들은 강력한 비밀번호 정책과 다요소 인증(MFA)을 도입해 RDP를 통한 침투 경로를 차단해야 한다.

러시아 연계 프로메테이 봇넷의 진화는 공격자가 단순한 감염을 넘어 타 경쟁 세력을 배제하고 시스템을 독점 지배하는 정밀한 전략으로 선회했음을 보여준다. 다중 암호화와 모듈화된 공격 체계는 기존 방어선을 무력화할 수 있어 RDP 보안 강화와 선제적 탐지 체계 구축이 국가적·기업적 차원에서 중대한 과제로 부각되고 있다.

[김형근 기자(editor@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>