악성 페이로드를 숨기기 위해 테일러 스위프트 이미지를 사용하는 가상화폐 마이닝 봇넷 발견

Cryptocurrency-mining botnet uses a Taylor Swift image to hide malware payloads

가상 화폐 봇넷 운영자들이 악성 페이로드를 숨기기 위해 가수 테일러 스위프트의 이미지를 사용하고 있는 것으로 나타났습니다.

이 봇넷의 이름은 MyKingz이며 Smominru, DarkCloud, Hexmen으로도 알려져 있습니다.

MyKingz 봇넷의 활동 기록

MyKingz는 2017년 말 처음으로 발견되었습니다. 당시 이 봇넷은 가장 규모가 큰 가상 화폐 관련 악성 프로그램이었습니다.

MyKingz 공격자들은 주로 윈도우 시스템을 공격해 다양한 가상 화폐 마이닝 애플리케이션을 배포했습니다. 이를 통해 감염시킨 기기의 리소스를 활용하여 수익을 발생시켰습니다.

이 봇넷은 매우 다양한 인터넷 스캐닝, 감염 메커니즘을 사용합니다. MyKingz는 스캔 및 악용이 가능한 포트나 취약점을 발견하면 이를 어떻게든 활용하려 시도합니다. 이 봇넷은 MySQL에서 MS-SQL까지, Telnet에서 SSH까지, RDP에서 IPC 및 WMI까지 거의 모든 것을 공격합니다.

이로써 이 봇넷은 급격히 성장할 수 있었습니다. MyKingz는 처음 첫 달에 525,000대 이상의 윈도우 시스템을 감염시켜 230만 달러가 넘는 모네로(XMR)수익을 올렸습니다.

MyKingz는 EternalBlue 익스플로잇을 활용하기 때문에, 봇넷은 기업 네트워크의 안쪽 깊은 곳에서 상주하기 때문에 실제 크기는 50만 봇넷 이상일 것으로 추측됩니다.

2018년 초, 일부 연구원들은 이 봇넷의 생명이 끝났다고 생각했습니다. 하지만 지난 여름 Guardicore와 Carbon Black은 이 봇넷이 아직까지 살아있으며 하루에 약 4,700대의 새로운 시스템을 감염시키고 있다고 밝혔습니다.

테일러 스위프트의 사진 사용해

이달에 발견된 이 봇넷의 최신버전이 사용하는 전략은 영국의 보안 회사인 Sophos에서 발견했습니다.

MyKingz의 인터넷 스캐닝 모듈은 취약한 호스트를 식별해내어 감염된 컴퓨터에 접근할 발판을 마련하기 때문에, 해킹된 시스템에 다양한 악성코드 페이로드를 배포할 수 있는 방법이 필요했습니다.

Sophos에 따르면, MyKingz 공격자들은 이미지 내 악성 파일을 숨기는 스테가노그래피 기술을 실험하기 시작했습니다.

이 경우 MyKingz 공격자들은 악성 EXE 파일을 팝 가수인 테일러 스위프트의 JPEG 이미지 내부에 숨겼습니다.

이 기술을 사용하는 목적은 기업 네트워크에서 실행되는 보안 소프트웨어를 속이는 것입니다. 보안 제품은 호스트 시스템이 위험한 EXE 파일이 아닌 기본 JPEG 파일을 다운로드하는 것만 확인할 것입니다.

하지만 MyKingz가 위험한 이유는 이것만이 아닙니다.

MyKingz는 지난 2년 동안 윈도우 컴퓨터 및 기업 네트워크를 노리는 위협 중 가장 규모가 큰 것으로 밝혀졌습니다. 시스템이 패치 되지 않았거나 보호되지 않은 포트가 있을 경우 이 봇넷에 감염될 수 있습니다.

Sophos는 MyKingz 운영자들이 현재 하루 평균 300달러를 벌고 있으며, 지금까지 약 300만 달러 상당인 9,000 모네로(XMR)를 벌여들인 것으로 추산했습니다.

출처 :

https://www.zdnet.com/article/cryptocurrency-mining-botnet-uses-a-taylor-swift-image-to-hide-malware-payloads/

https://nakedsecurity.sophos.com/2019/12/19/hiding-malware-downloads-in-taylor-swift-pics-new-sophoslabs-report/

https://www.sophos.com/en-us/medialibrary/pdfs/technical-papers/sophoslabs-uncut-mykings-report.pdf