Drupal을 사용하는 약 400개의 정부홈페이지, Coinhive 악성코드에 감염돼

Nearly 400 Drupal sites infected with malware that secretly mines cryptocurrency

Bad Packets Report의 보안연구원 Troy Mursch는 구버전의 Drupal을 사용하는 홈페이지들이 해커들의 공격을 받은것을 발견하였습니다. 

이번 공격은 약 400여개의 홈페이지를 감염시켰으며, 주로 미국 정부기관및 교육기관을 타겟으로 하였으며, 많은 과학기술관련 홈페이지도 해당 악성코드에 감염되었습니다. 

Mursch가 수집한 감염 홈페이지 목록 중에는 미국국가노동관계위원회(NLRB), 중국 리노보, 대만의 하드웨어 제조업체인 D-Link 및 UCLA도 포함되어 있었습니다. 

미국, 모스크바, 터키, 페루, 남아프리카 및 이탈리아 홈페이지들도 공격을 당했습니다. 

Mursch는 악성 JavaScript코드는 모두 동일한 도메인인 vuuwd.com과 동일한 Coinhive 비밀키를 갖고있었으며, 이는 이 공격의 배후가 동일인 혹은 동일 조직이라는 점을 보여준다고 밝혔습니다. 

Mursch는 이전 연구에서도 약 5만개의 홈페이지가 현재 암호화 활동을 하고 있으며, 그 중 대부분은 자신의 홈페이지가 공격을 당한 것을 인지하지 못하고있다고 밝혔습니다. 

이 공격이 매우 흥미로운 것은, 해커들은 Coinhive를 매우 선호하며, 80%가 넘는 홈페이지들이 Coinhive에 감염되었다는 점입니다. 

Coinhive는 사용자의 동의를 얻은 후 사용자의 PC자원을 이용하여 채굴을 하는 합법적인 서비스 입니다. 유니세프는 심지어 Coinhive 서비스의 기능을 이용하여 방글라데시 어린이들을 위한 자선사업 기금을 마련하는데 사용하기도 합니다. 

하지만, 연구원들의 조사 결과 [Opt in] 버전은 일반적으로 웹 사이트에서 인기가 없는 것으로 확인되었으며, 이 때문에 웹사이트에서는 사용자에게 알리지 않는 방식을 이용하여 Coinhive를 사용합니다.

사용자는 자신의 CPU 사용율이 갑자기 높아진다면 원인을 찾아보고, 현재 자신의 컴퓨터를 이용하여 Coinhive가 채굴을 하고 있는지 여부도 확인해야 합니다. 

출처 :

https://thenextweb.com/hardfork/2018/05/08/coinhive-malware-victimizes-another-400-websites-including-us-govt-lenovo-and-ucla/