상세 컨텐츠
본문
Microsoft Warns of LemonDuck Malware Targeting Windows and Linux Systems
악명 높은 크로스 플랫폼 크립토마이닝 악성코드가 오래된 취약점을 노리며 Windows 및 Linux OS를 공격하는 기술을 끊임없이 개선하고, 다양한 확산 메커니즘을 활용하여 캠페인의 효율성을 극대화하고 있는 것으로 나타났습니다.
마이크로소프트는 지난 주 발행한 기술 문서에서 아래와 같이 밝혔습니다.
“LemonDuck은 봇넷 및 가상화폐 채굴기로 알려졌으며 활발히 업데이트되는 강력한 악성코드입니다. 이 악성코드는 더욱 정교한 행동을 채택했으며, 그들의 작전을 더욱 확장시켰습니다. LemonDuck은 기존에 봇 및 마이닝 활동에 리소스를 사용하는 것을 넘어 크리덴셜을 훔치고, 보안 장치를 제거하고, 이메일을 통해 확산되고, 측면 이동하고, 결국 인간 개입 공격을 위한 더 많은 툴을 드롭합니다.”
이 악성코드는 감염된 네트워크 전체에 빠르게 확산되어 정보 탈취를 용이하게 하고, 가상화폐를 불법적으로 채굴하기 위해 컴퓨터 리소스를 사용함으로써 컴퓨터를 가상화폐 채굴 봇으로 사용하는 것으로 알려져있습니다.
또한 크리덴셜 탈취 및 랜섬웨어를 포함한 다양한 악성 위협을 실행할 수 있는 게이트웨이 역할을 하는 차세대 임플란트를 설치하고, 관련 후속 공격을 진행하는 로더 역할을 합니다.
LemonDuck 활동은 2019년 5월 중국에서 처음 발견되었으며, 2020년 COVID-19를 주제로 사용하는 이메일 공격을 사용하기 시작했으며, 최근에는 패치되지 않은 시스템에 접근하기 위해 "ProxyLogon" 익스체인지 서버 취약점을 악용했습니다.
주목할만한 또 다른 전략은 “경쟁 악성코드를 제거하고, 접근 권한을 얻는데 악용한 동일한 취약점을 패치함으로써 새로운 감염을 막아 다른 공격자를 막는다”는 것입니다.
LemonDuck 악성코드를 사용한 공격은 주로 제조 및 IoT 부문에 집중되어 있으며 미국, 러시아, 중국, 독일, 영국, 인도, 한국, 캐나다, 프랑스, 베트남에서 가장 많이 발생했습니다.
또한 마이크로소프트는 “또 다른 목표”를 달성하기 위해 LemonDuck에 의존하는 “LemonCat”이라는 두 번째 작전에 대해 공개했습니다.
“CAT” 변종과 관련된 해당 공격 인프라는 2021년 1월 등장해 마이크로소프트 익스체인지 서버를 노린 취약점을 악용하는 공격에 사용되었습니다.
Cat 도메인을 이용하는 후속 침입을 통해 백도어 설치, 크리덴셜 및 데이터 탈취, Ramnit 윈도우 트로이목마를 포함한 악성코드 전달 등과 같은 공격이 발생했습니다.
“Cat 인프라가 더 위험한 캠페인에 사용된다고 해서 Duck 인프라에서 발생하는 악성코드 감염이 중요하지 않다는 것은 아닙니다.”
“대신 이 인텔리전스는 해당 위협을 이해하는데 중요한 컨텍스트를 추가합니다. 더욱 큰 효과를 위해 동적 간격으로 동일한 도구 세트, 접근, 방식이 재사용될 수 있다는 것입니다.”
출처:
https://thehackernews.com/2021/07/microsoft-warns-of-lemonduck-malware.html
'국내외 보안동향' 카테고리의 다른 글
| 애플, 올해 13번째 제로데이인 CVE-2021-30807 취약점 수정해 (0) | 2021.07.28 |
|---|---|
| LockBit 랜섬웨어, 그룹 정책 통해 윈도우 도메인 암호화 자동화해 (0) | 2021.07.28 |
| 마이크로소프트, PetitPotam 공격에 대한 완화책 발표 (0) | 2021.07.27 |
| 전화번호 38억 건이 포함된 클럽하우스 데이터베이스 판매돼 (0) | 2021.07.26 |
| macOS 악성코드 XCSSET, 구글 크롬 및 텔레그램 소프트웨어 노려 (0) | 2021.07.26 |
댓글 영역