.gif)
니트로코드라는 멀웨어를 통해 피해자 시스템에 침투한 뒤 한 달 정도 일부러 아무 것도 하지 않는 공격 캠페인이 발견됐다. 공격자들의 최종 목적은 암호화폐를 채굴하는 것이다. 얼마나 영리한 지 2~3년 동안 눈에 띄지도 않았다.
[보안뉴스 문가용 기자] 이미 최소 수천~수만 대를 감염시킨 것으로 보이는 암호화폐 채굴 캠페인이 발견됐다. 공격자들은 이 멀웨어를 전파하기 위해 데스크톱용 구글 번역(Google Translate) 서비스를 악용했다. 보안 업체 체크포인트(Check Point)가 발표한 바에 따르면 이 채굴 캠페인에 사용된 멀웨어의 이름은 니트로코드(Nitrokod)라고 하며, 개발자는 튀르키예어를 사용하는 소프트웨어 개발자로 보인다고 한다.
[이미지 = utoimage]
이번 캠페인이 영리한 건 공격자가 인기는 높고 사용자는 많은데 공식 데스크톱 버전이 존재하지 않는 구글 번역 서비스를 사칭했기 때문이다. 구글 번역기의 공식 PC 버전이라고 하면 다운로드 받을 사람이 많다는 걸 간파한 것이다. 현대 구글 번역은 웹 브라우저(즉 웹사이트)를 통해 제공되고 있다. Google Translate desktop download라는 키워드로 검색을 했을 때 공격자가 니트로코드를 호스팅한 사이트들이 검색 결과 목록에서 윗편을 차지하고 있기도 하다.
피해자들이 구글 번역 앱인줄 알고 다운로드 받는 건 실제로 구글 번역기처럼 작동하는 앱이다. 하지만 트로이목마로 변형된 버전이다. 피해자들은 번역기가 잘 돌아가긴 하니까 자신이 속고 있다는 것도 모른다. “공격자들의 멀웨어 유포 전략이 얼마나 다양하게 변하고 있는지를 잘 드러내는 사례입니다. 사실 본질적으로는 정상 소프트웨어를 사칭하는 오래된 전략이긴 한데, 어떤 소프트웨어를 사칭하느냐에 따라 성공률을 크게 높일 수 있다는 걸 잘 알고 있는 것이죠. 아직은 사용자들이 이런 식의 공격에 너무나 쉽게 당합니다." 보안 업체 카도시큐리티(Cado Security)의 연구원 맷 무이르(Matt Muir)의 설명이다.
놀라운 스텔스 기능
이 캠페인을 제일 먼저 발견한 체크포인트의 경우 “탐지를 어렵게 만드는 다양한 기술과 전략이 눈에 띈다”고 말한다. “예를 한 가지 들면 니트로코드는 피해자의 컴퓨터에 설치되고서 슬립 모드에 들어갑니다. 그것도 수주 동안 말이죠. 대략 한 달 정도의 시간이 지난 후에 감염을 시작합니다. 이러니 더더욱 탐지가 어렵게 되는 겁니다.” 보안 업체 컨트라스트시큐리티(Contrast Security)의 부회장 톰 켈러만(Tom Kellermann)이 말한다. “악성 프로세스를 긴 시간 슬립모드로 두고 한참 후에 본격적인 공격을 실시하는 전략이 최근 해커들 사이에서 유행하기 시작했습니다.”
슬립 시간이 지나고 감염 프로세스가 시작되면 업데이트 파일이 새로 다운로드 되고, 수일에 걸쳐 네 개의 드로퍼 멀웨어들이 연쇄적으로 설치된다. 1번 드로퍼가 2번 드로퍼를 설치하고, 2번 드로퍼가 3번을 설치하는 식이다. 그리고 맨 나중에는 모네로를 채굴하는 XM리그(XMRig) 채굴 멀웨어가 설치되고 실행까지 된다. 하지만 실행되자마자 채굴이 시작되는 건 아니다. 먼저는 C&C 서버와 연결하여 설정에 필요한 데이터를 추가로 받는다. 그리고 그 설정에 따라 채굴을 진행한다. 이 모든 과정이 진행되는 동안 번역기는 멀쩡히 잘 돌아간다.
이렇게 은밀하게 캠페인이 진행되기 때문에 지난 수 년 동안 발각되지 않은 채 진행될 수 있었다고 체크포인트는 강조했다. “설사 채굴 멀웨어나 드로퍼들이 발견된다 하더라도 한 달 전에 받았던 구글 번역 앱과 연관 짓기가 힘듭니다. 그러니 니트로코드가 발견되는 일이나, 니트로코드를 퍼트리기 위해 구글 번역 서비스를 사칭한 전략이 발각되는 일은 좀처럼 일어나지 않는 것입니다.” 니트로코드는 최소 2019년부터 사용되어 온 것으로 보인다.
암호화폐 채굴 코드의 공격, 어떻게 막을까?
보안 업체 아쿠아노틸러스(Aqua Nautilus)의 수석 데이터 분석가인 아사프 모락(Assaf Morag)은 “암호화폐의 가치가 크게 떨어지고 있어도 암호화폐를 훔치려 하는 공격자들의 열성은 전혀 식지 않고 있다”며 “앞으로 더 기발한 캠페인이 등장할 것”이라고 예측했다. “웹사이트에 암호화폐 채굴 스크립트를 숨겨놓기도 하고, 대형 봇넷 인프라를 통해 취약점을 익스플로잇 함으로써 멀웨어를 심기도 합니다. 그리고 지난 2~3년 동안 구글을 사칭한 캠페인을 이제야 발견하기도 했네요.”
암호화폐 채굴 공격을 성공적으로 막으려면 기본적인 보안 실천 사항을 준수하는 것이 좋다. 소프트웨어 패치, 웹 필터링, 네트워크 모니터링, 보안 정책 강화, 피싱 공격 교육 강화 등이 그 사례가 될 수 있다. 또한 공식 리포지터리에서 소프트웨어를 다운로드 받는 것도 중요하다. 보안 업체 시스딕(Sysdig)의 위협 분석 책임자 마이클 클락(Michael Clark)은 “원격 근무자들이 특히 잘 알아두어야 할 공격”이라고 강조하기도 한다.
“사람들이 각자 집에 가서 일하기 시작하면서 각종 소프트웨어들에 대한 수요들이 늘어났습니다. 특히 무료 혹은 저렴한 생산성 소프트웨어에 대한 관심이 높아졌죠. 이 때문에 소프트웨어를 사칭한 멀웨어 유포 공격이 잘 통하는 거라고도 볼 수 있습니다. 회사 차원에서 원격 근무자들에게 이러한 사실을 알리고 교육하는 게 필요합니다.”
4줄 요약
1. 가짜 구글 번역 데스크톱 앱을 다운로드 받으면 사실 니트로코드라는 멀웨어가 다운로드 됨.
2. 니트로코드는 한 달 정도 가만히 있다가 본격적으로 감염을 시작함.
3. 연쇄적인 감염 끝에는 암호화폐를 채굴하는 코드가 심겨짐.
4. 구글 번역 기능도 멀쩡하게 잘 수행되기 때문에 의심하기 힘듦.
[국제부 문가용 기자(globoan@boannews.com)]
[보안뉴스 문가용 기자] 이미 최소 수천~수만 대를 감염시킨 것으로 보이는 암호화폐 채굴 캠페인이 발견됐다. 공격자들은 이 멀웨어를 전파하기 위해 데스크톱용 구글 번역(Google Translate) 서비스를 악용했다. 보안 업체 체크포인트(Check Point)가 발표한 바에 따르면 이 채굴 캠페인에 사용된 멀웨어의 이름은 니트로코드(Nitrokod)라고 하며, 개발자는 튀르키예어를 사용하는 소프트웨어 개발자로 보인다고 한다.
[이미지 = utoimage]
이번 캠페인이 영리한 건 공격자가 인기는 높고 사용자는 많은데 공식 데스크톱 버전이 존재하지 않는 구글 번역 서비스를 사칭했기 때문이다. 구글 번역기의 공식 PC 버전이라고 하면 다운로드 받을 사람이 많다는 걸 간파한 것이다. 현대 구글 번역은 웹 브라우저(즉 웹사이트)를 통해 제공되고 있다. Google Translate desktop download라는 키워드로 검색을 했을 때 공격자가 니트로코드를 호스팅한 사이트들이 검색 결과 목록에서 윗편을 차지하고 있기도 하다.
피해자들이 구글 번역 앱인줄 알고 다운로드 받는 건 실제로 구글 번역기처럼 작동하는 앱이다. 하지만 트로이목마로 변형된 버전이다. 피해자들은 번역기가 잘 돌아가긴 하니까 자신이 속고 있다는 것도 모른다. “공격자들의 멀웨어 유포 전략이 얼마나 다양하게 변하고 있는지를 잘 드러내는 사례입니다. 사실 본질적으로는 정상 소프트웨어를 사칭하는 오래된 전략이긴 한데, 어떤 소프트웨어를 사칭하느냐에 따라 성공률을 크게 높일 수 있다는 걸 잘 알고 있는 것이죠. 아직은 사용자들이 이런 식의 공격에 너무나 쉽게 당합니다." 보안 업체 카도시큐리티(Cado Security)의 연구원 맷 무이르(Matt Muir)의 설명이다.
놀라운 스텔스 기능
이 캠페인을 제일 먼저 발견한 체크포인트의 경우 “탐지를 어렵게 만드는 다양한 기술과 전략이 눈에 띈다”고 말한다. “예를 한 가지 들면 니트로코드는 피해자의 컴퓨터에 설치되고서 슬립 모드에 들어갑니다. 그것도 수주 동안 말이죠. 대략 한 달 정도의 시간이 지난 후에 감염을 시작합니다. 이러니 더더욱 탐지가 어렵게 되는 겁니다.” 보안 업체 컨트라스트시큐리티(Contrast Security)의 부회장 톰 켈러만(Tom Kellermann)이 말한다. “악성 프로세스를 긴 시간 슬립모드로 두고 한참 후에 본격적인 공격을 실시하는 전략이 최근 해커들 사이에서 유행하기 시작했습니다.”
슬립 시간이 지나고 감염 프로세스가 시작되면 업데이트 파일이 새로 다운로드 되고, 수일에 걸쳐 네 개의 드로퍼 멀웨어들이 연쇄적으로 설치된다. 1번 드로퍼가 2번 드로퍼를 설치하고, 2번 드로퍼가 3번을 설치하는 식이다. 그리고 맨 나중에는 모네로를 채굴하는 XM리그(XMRig) 채굴 멀웨어가 설치되고 실행까지 된다. 하지만 실행되자마자 채굴이 시작되는 건 아니다. 먼저는 C&C 서버와 연결하여 설정에 필요한 데이터를 추가로 받는다. 그리고 그 설정에 따라 채굴을 진행한다. 이 모든 과정이 진행되는 동안 번역기는 멀쩡히 잘 돌아간다.
이렇게 은밀하게 캠페인이 진행되기 때문에 지난 수 년 동안 발각되지 않은 채 진행될 수 있었다고 체크포인트는 강조했다. “설사 채굴 멀웨어나 드로퍼들이 발견된다 하더라도 한 달 전에 받았던 구글 번역 앱과 연관 짓기가 힘듭니다. 그러니 니트로코드가 발견되는 일이나, 니트로코드를 퍼트리기 위해 구글 번역 서비스를 사칭한 전략이 발각되는 일은 좀처럼 일어나지 않는 것입니다.” 니트로코드는 최소 2019년부터 사용되어 온 것으로 보인다.
암호화폐 채굴 코드의 공격, 어떻게 막을까?
보안 업체 아쿠아노틸러스(Aqua Nautilus)의 수석 데이터 분석가인 아사프 모락(Assaf Morag)은 “암호화폐의 가치가 크게 떨어지고 있어도 암호화폐를 훔치려 하는 공격자들의 열성은 전혀 식지 않고 있다”며 “앞으로 더 기발한 캠페인이 등장할 것”이라고 예측했다. “웹사이트에 암호화폐 채굴 스크립트를 숨겨놓기도 하고, 대형 봇넷 인프라를 통해 취약점을 익스플로잇 함으로써 멀웨어를 심기도 합니다. 그리고 지난 2~3년 동안 구글을 사칭한 캠페인을 이제야 발견하기도 했네요.”
암호화폐 채굴 공격을 성공적으로 막으려면 기본적인 보안 실천 사항을 준수하는 것이 좋다. 소프트웨어 패치, 웹 필터링, 네트워크 모니터링, 보안 정책 강화, 피싱 공격 교육 강화 등이 그 사례가 될 수 있다. 또한 공식 리포지터리에서 소프트웨어를 다운로드 받는 것도 중요하다. 보안 업체 시스딕(Sysdig)의 위협 분석 책임자 마이클 클락(Michael Clark)은 “원격 근무자들이 특히 잘 알아두어야 할 공격”이라고 강조하기도 한다.
“사람들이 각자 집에 가서 일하기 시작하면서 각종 소프트웨어들에 대한 수요들이 늘어났습니다. 특히 무료 혹은 저렴한 생산성 소프트웨어에 대한 관심이 높아졌죠. 이 때문에 소프트웨어를 사칭한 멀웨어 유포 공격이 잘 통하는 거라고도 볼 수 있습니다. 회사 차원에서 원격 근무자들에게 이러한 사실을 알리고 교육하는 게 필요합니다.”
4줄 요약
1. 가짜 구글 번역 데스크톱 앱을 다운로드 받으면 사실 니트로코드라는 멀웨어가 다운로드 됨.
2. 니트로코드는 한 달 정도 가만히 있다가 본격적으로 감염을 시작함.
3. 연쇄적인 감염 끝에는 암호화폐를 채굴하는 코드가 심겨짐.
4. 구글 번역 기능도 멀쩡하게 잘 수행되기 때문에 의심하기 힘듦.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.png)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
