악성 USB 드라이브, 컴퓨터 3만 5천 대 가상화폐 채굴 봇넷에 감염 시켜

Malicious USB Drives Infect 35,000 Computers With Crypto-Mining Botnet

지난 목요일 ESET 사이버 보안 연구원들은 최소 3만 5천 대의 해킹된 윈도우 시스템으로 구성된 악성 봇넷 중 일부를 중단시켰다고 밝혔습니다. 

공격자는 이들을 모네로 가상화폐를 채굴하는데 이용했습니다.

"VictoryGate"라 명명된 이 봇넷은 지난 2019년 5월부터 활성화되었으며 라틴 아메리카를 주로 노렸습니다. 

특히 페루를 집중적으로 노려 해킹된 기기 전체의 90%가 페루에 위치한 상태였습니다.

이 봇넷의 주요 활동은 모네로 가상 화폐를 채굴하는 것이었습니다. 금융 기관을 포함한 공공 및 민간 조직에서 피해자가 발생했습니다.

ESET은 동적 DNS 공급 업체인 No-IP와 협력해 악성 C2 서버를 중단시키고, 봇넷의 활동을 모니터링하기 위한 가짜 도메인(싱크홀)을 설정했다고 밝혔습니다.

싱크홀의 데이터에 따르면, 올해 2월과 3월 사이 매일 2,000 ~ 3,500대 사이의 감염된 컴퓨터가 C2 서버에 연결한 것으로 나타났습니다.

ESET의 연구원들은 VictoryGate는 USB 드라이브와 같은 이동식 장치를 통해 전파된다고 밝혔습니다. 

이는 피해자의 기기에 이동식 장치가 연결될 경우 해당 시스템에 악성 페이로드를 설치합니다.

<이미지 출처: https://www.welivesecurity.com/2020/04/23/eset-discovery-monero-mining-botnet-disrupted/>

게다가 이 모듈은 정식 윈도우 프로세스에 임의 코드를 주입하는 추가 페이로드를 다운로드하기 위해 C2 서버에 연결합니다. 

XMRig 마이닝 소프트웨어를 ucsvc.exe 프로세스 또는 부트 파일 서비스 유틸리티에 주입하여 모네로를 채굴하는 것도 포함됩니다.

연구원들은 싱크홀을 통해 수집한 데이터를 통해 하루 평균 2,000대 기기가 채굴에 이용되고 있는 것으로 결론 내렸습니다. 

평균 해시 비율이 150H/s라 가정할 경우, 공격자는 이 봇넷을 통해 최소 80 모네로(약 $6,000)를 수집했을 것입니다.

연구원들은 이 악성코드가 USB 드라이브를 통해 전파되고 있기 때문에, 새로운 감염이 발생할 수 있다고 경고했습니다. 

하지만 C2 인프라의 상당 부분이 싱크홀될 경우, 봇은 더 이상 추가 페이로드를 다운로드하지 않을 것입니다. 

하지만 C2 서버가 중단되기 전 해킹된 컴퓨터는 계속 모네로를 채굴할 것입니다.

VictoryGate의 특징 중 하나는 유사한 이전 캠페인보다 탐지를 피하기 위한 노력을 더 많이 기울이고 있다는 것입니다.

또한 봇 마스터는 감염된 기기에 다운로드 및 실행된 페이로드의 가상 화폐 채굴 기능 이외에 추가 기능을 업데이트할 수 있다는 점에서 상당히 위험하다고 볼 수 있습니다.

현재 알약에서는 해당 악성 샘플에 대해 'Trojan.VictoryGate.A'으로 탐지 중입니다.

출처:

https://thehackernews.com/2020/04/usb-drive-botnet-malware.html

https://www.welivesecurity.com/2020/04/23/eset-discovery-monero-mining-botnet-disrupted/