모네로 채굴 봇넷 Smominru, 50여만대의 Windows 기기 감염시켜

최근 52.6만대로 이루어진 모네로 채굴 봇넷이 발견되었습니다. 이는 지금까지 발견된 봇넷 규모중 가장 큰 규모로, 이전에 다양한 보고서에서 공개된 것들은 채굴 활동의 일부분이었을 것으로 추정됩니다. 

Proofpoint과 360 및 기타 업체들은 이 봇넷에 대해 보고서를 발표하였습니다. 

지금까지 Smominru의 수익은 약 360만 달러로 추정됩니다. 

지금까지 공개된 보고서를 보면, Smominru 봇넷에 감염된 PC들은 이미 52만대가 넘었으며, 공격자들은 이 봇넷들을 통하여 8900개의 모네로를 채굴하였다고 밝혔습니다. 

Smominru 봇넷 조종자는 다양한 기술을 통하여 호스트들을 감염시키며, 주로 "Eternal Blue(CVE-2017-0144)"를 이용하며, 일부는 EsteemAudit(CVE-2017-0176)을 이용하는 것으로 확인되었습니다. 이 두 취약점은 패치가 되어 있지 않은 Windows 호스트를 공격 대상으로 합니다. 

이 봇넷은 Linux서버의 MySQL을 공격 타겟으로 할 뿐만 아니라, 윈도우 서버의 MSSQL DB도 타겟으로 합니다. 

보고서에 따르면 이 조직은 감염시킨 디바이스에  Mirai DDoS, 백도어 등 대량의 악성코드를 심어놓았지만, 주요 목적은 모네로 채굴이라고 밝혔습니다. 

sinkholing 이 수집한 데이터에 따르면, 주로 러시아, 인도, 대만, 우크라이나 및 브라질에서 감염 된 것으로 확인되었습니다. 

sinkholing, Proofpoint에 따르면, 약 50만대 규모의 봇넷이라고 밝혔지만, 360은 최소 100만대 이상의 규모라고 추측하고 있다고 밝혔습니다. 

GuardiCore가 이전에 공개한 보고서에 따르면, 이 봇넷을 컨트롤하는 조직이 중국 대륙에 위치하고 있다고 밝혔지만, Proofpoint는 ip스캔 결과 AS63199(미국)에 위치하고 있다고 밝히기도 했습니다. 

출처 :

https://www.bleepingcomputer.com/news/security/smominru-botnet-infected-over-500-000-windows-machines/