상세 컨텐츠

본문 제목

마이크로소프트, 윈도우 및 리눅스 시스템을 노리는 LemonDuck 악성코드 경고

국내외 보안동향

by 알약4 2021. 7. 27. 14:00

본문

 

 

Microsoft Warns of LemonDuck Malware Targeting Windows and Linux Systems

 

악명 높은 크로스 플랫폼 크립토마이닝 악성코드가 오래된 취약점을 노리며 Windows 및 Linux OS를 공격하는 기술을 끊임없이 개선하고, 다양한 확산 메커니즘을 활용하여 캠페인의 효율성을 극대화하고 있는 것으로 나타났습니다.

 

마이크로소프트는 지난 주 발행한 기술 문서에서 아래와 같이 밝혔습니다.

 

“LemonDuck은 봇넷 및 가상화폐 채굴기로 알려졌으며 활발히 업데이트되는 강력한 악성코드입니다. 이 악성코드는 더욱 정교한 행동을 채택했으며, 그들의 작전을 더욱 확장시켰습니다. LemonDuck은 기존에 봇 및 마이닝 활동에 리소스를 사용하는 것을 넘어 크리덴셜을 훔치고, 보안 장치를 제거하고, 이메일을 통해 확산되고, 측면 이동하고, 결국 인간 개입 공격을 위한 더 많은 툴을 드롭합니다.”

 

이 악성코드는 감염된 네트워크 전체에 빠르게 확산되어 정보 탈취를 용이하게 하고, 가상화폐를 불법적으로 채굴하기 위해 컴퓨터 리소스를 사용함으로써 컴퓨터를 가상화폐 채굴 봇으로 사용하는 것으로 알려져있습니다.

 

또한 크리덴셜 탈취 및 랜섬웨어를 포함한 다양한 악성 위협을 실행할 수 있는 게이트웨이 역할을 하는 차세대 임플란트를 설치하고, 관련 후속 공격을 진행하는 로더 역할을 합니다.

 

 

<이미지 출처 : https://www.microsoft.com/security/blog/2021/07/22/when-coin-miners-evolve-part-1-exposing-lemonduck-and-lemoncat-modern-mining-malware-infrastructure/>

 

 

LemonDuck 활동은 2019 5월 중국에서 처음 발견되었으며, 2020COVID-19를 주제로 사용하는 이메일 공격을 사용하기 시작했으며, 최근에는 패치되지 않은 시스템에 접근하기 위해 "ProxyLogon" 익스체인지 서버 취약점을 악용했습니다.

 

주목할만한 또 다른 전략은 경쟁 악성코드를 제거하고, 접근 권한을 얻는데 악용한 동일한 취약점을 패치함으로써 새로운 감염을 막아 다른 공격자를 막는다는 것입니다.

 

LemonDuck 악성코드를 사용한 공격은 주로 제조 및 IoT 부문에 집중되어 있으며 미국, 러시아, 중국, 독일, 영국, 인도, 한국, 캐나다, 프랑스, 베트남에서 가장 많이 발생했습니다.

 

 

<이미지 출처 : https://www.microsoft.com/security/blog/2021/07/22/when-coin-miners-evolve-part-1-exposing-lemonduck-and-lemoncat-modern-mining-malware-infrastructure/>

 

 

또한 마이크로소프트는 또 다른 목표를 달성하기 위해 LemonDuck에 의존하는 “LemonCat”이라는 두 번째 작전에 대해 공개했습니다.

 

“CAT” 변종과 관련된 해당 공격 인프라는 2021 1월 등장해 마이크로소프트 익스체인지 서버를 노린 취약점을 악용하는 공격에 사용되었습니다.

 

Cat 도메인을 이용하는 후속 침입을 통해 백도어 설치, 크리덴셜 및 데이터 탈취, Ramnit 윈도우 트로이목마를 포함한 악성코드 전달 등과 같은 공격이 발생했습니다.

 

“Cat 인프라가 더 위험한 캠페인에 사용된다고 해서 Duck 인프라에서 발생하는 악성코드 감염이 중요하지 않다는 것은 아닙니다.”

 

대신 이 인텔리전스는 해당 위협을 이해하는데 중요한 컨텍스트를 추가합니다. 더욱 큰 효과를 위해 동적 간격으로 동일한 도구 세트, 접근, 방식이 재사용될 수 있다는 것입니다.”

 

 

 

 

 

출처:

https://thehackernews.com/2021/07/microsoft-warns-of-lemonduck-malware.html

https://www.microsoft.com/security/blog/2021/07/22/when-coin-miners-evolve-part-1-exposing-lemonduck-and-lemoncat-modern-mining-malware-infrastructure/

관련글 더보기

댓글 영역