페루를 중심으로 남미에서 극성을 부리고 있어...최소 2019년 5월부터 활동
여러 페이로드 추가 설치해 악성 행위 바꾸는 것 가능...현재는 모네로 채굴 중
[보안뉴스 문가용 기자] 보안 업체 이셋(ESET)이 빅토리게이트(VictoryGate)라는 이름을 가진 봇넷의 C&C 서버들 중 일부에 싱크홀 기술을 적용하는 데 성공했다. 이 때문에 이 봇넷의 활동에 상당한 지장이 발생했다고 한다. 빅토리아게이트는 감염된 USB로 퍼지는 봇넷 멀웨어다.
[이미지 = iclickart]
2019년 5월부터 활동을 시작한 빅토리게이트는 페루를 비롯해 라틴아메리카 지역에서 가장 왕성한 활동력을 보이고 있다. 현재까지 감염된 장비의 90%가 페루에 있다고 한다. 이셋은 싱크홀링 작업이 끝나고 나서 봇넷의 크기가 3만 5천 대 조금 넘는 수준인 것으로 예상하고 있다.
빅토리게이트 봇넷 운영자들이 주로 하는 건 모네로(Monero)라는 암호화폐의 채굴이다. 그러나 멀웨어 자체가 여러 다른 멀웨어를 추가로 다운로드 받을 수 있도록 설계되어 있기 때문에 채굴 외에 다른 활동도 얼마든지 진행할 수 있다. 잠재적 위험이 높다는 것이다. 이셋은 발견되기 이전에 빅토리게이트가 다른 활동을 하고 있었을 가능성도 높다고 보고 있다.
“그렇게 보는 이유는 공공 부문과 민간 부문의 조직들에서 이 봇넷의 감염 흔적을 찾아냈기 때문입니다. 다양한 멀웨어를 설치할 수 있는 기능을 선두에 세워 여러 분야에서 다양한 활동을 해왔거나, 그런 과정에 있을 가능성이 높습니다.”
현재 빅토리게이트는 시스템을 장악한 뒤 CPU 자원을 90~99% 잡아먹는 것으로 피해를 끼친다. 당연히 암호화폐 채굴로 모든 자원을 돌리는 것이다. 피해자로서는 시스템이 너무나 느려 사용이 힘들다고 느껴지게 된다. 또한 빅토리게이트는 스스로를 전파하기 위해 USB를 감염시킨다. 자기 자신을 USB의 숨겨진 디렉토리로 전부 복제한 뒤, 윈도우 실행파일 형태로 압축시킨다고 한다. 따라서 피해자로서는 정상 USB로 보이며, 멀웨어의 발견이 힘들다.
빅토리게이트는 오토잇(AutoIt)으로 컴파일링한 스크립트를 정상적인 윈도우 프로세스들에 주입한다. 정상적으로 보이는 프로세스 안에서 이 스크립트는 C&C와 통신도 하고, 추가 페이로드를 다운로드 받고 실행도 한다. 또한 증식을 위해 USB가 연결되어 있는지도 확인하고, 그렇다면 감염시킨다.
감염되어 봇으로 변한 시스템들은 이제 C&C와 연결이 되어 있는 상태로, 파일을 다운로드 받아 실행시킬 수 있다. 뿐만 아니라 C&C로 시스템 정보를 전송하고, 악성 활동 실행이 잘 되고 있는지 알려줄 수도 있다. 시스템 정보란 사용자 이름, 호스트 이름, 안티멀웨어 제품, 오토잇 버전 등을 말한다.
현재까지 이셋이 발견한 ‘추가 페이로드’는 XM리그(XMRig)라는 채굴 소프트웨어였다. 주로 ucsvc.exe라는 프로세스에 주입되어 활동했다. 빅토리게이트는 새로 설치된 XM리그로 채굴을 하다가 사용자가 작업관리자 창을 여는 순간 채굴을 멈춘다. 시스템이 느려져 이상하게 생각한 사용자가 CPU 사용량 확인을 위해 작업관리자를 여는 것일 가능성이 높으므로, CPU가 정상적으로 작동한다고 속이기 위해서다. 사용자가 작업관리자를 닫는 순간 채굴은 다시 시작된다.
이셋은 “하루에 약 2000개의 봇들이 채굴을 진행한다”고 하며, “현재까지 최소 80 모네로를 채굴하는 데 성공한 것으로 보인다”고 말한다. 이는 약 6천 달러에 해당한다. “감염된 USB를 통해 확산한다는 게 비효율적으로 느껴질 수 있는데, 오히려 이렇기 때문에 빅토리게이트를 찾아내 제거한다는 게 더 힘들어집니다. 세상의 모든 USB를 다 점검할 수 없기 때문입니다. 분명 없앤다고 해도 어디선가 감염된 USB가 등장해 활동을 시작할 겁니다. USB가 너무나 흔하고 사용이 쉬운 장비라서 그런 겁니다.”
그렇기 때문에 이번에 서버 몇 가지 싱크홀링 했다고 해서 빅토리게이트가 제거되는 건 절대 아니라고 강조했다. “다만 추가 피해자가 채굴 코드를 인터넷으로부터 다운로드 받는 일은 당분간 없을 것입니다. USB를 통해 감염이 된다고 하더라도 C&C 서버를 저희가 망가트렸기 때문에 채굴은 하지 않는다는 겁니다. 다만 이전에 채굴을 해왔던 시스템들이라면 여전히 계속해서 채굴을 하게 될 겁니다.”
보다 상세한 정보는 이셋의 블로그(https://www.welivesecurity.com/2020/04/23/eset-discovery-monero-mining-botnet-disrupted/)를 통해 열람이 가능하다.
3줄 요약
1. 남미 지역에서 극성 중인 봇넷, 빅토리게이트 발견됨.
2. USB를 통해 퍼지며, 추가 페이로드를 바꿔가며 설치할 수 있는 멀웨어임.
3. 현재는 XM리그라는 모네로 채굴 멀웨어가 빅토리게이트를 통해 퍼지는 상태임.
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]
여러 페이로드 추가 설치해 악성 행위 바꾸는 것 가능...현재는 모네로 채굴 중
[보안뉴스 문가용 기자] 보안 업체 이셋(ESET)이 빅토리게이트(VictoryGate)라는 이름을 가진 봇넷의 C&C 서버들 중 일부에 싱크홀 기술을 적용하는 데 성공했다. 이 때문에 이 봇넷의 활동에 상당한 지장이 발생했다고 한다. 빅토리아게이트는 감염된 USB로 퍼지는 봇넷 멀웨어다.
[이미지 = iclickart]
2019년 5월부터 활동을 시작한 빅토리게이트는 페루를 비롯해 라틴아메리카 지역에서 가장 왕성한 활동력을 보이고 있다. 현재까지 감염된 장비의 90%가 페루에 있다고 한다. 이셋은 싱크홀링 작업이 끝나고 나서 봇넷의 크기가 3만 5천 대 조금 넘는 수준인 것으로 예상하고 있다.
빅토리게이트 봇넷 운영자들이 주로 하는 건 모네로(Monero)라는 암호화폐의 채굴이다. 그러나 멀웨어 자체가 여러 다른 멀웨어를 추가로 다운로드 받을 수 있도록 설계되어 있기 때문에 채굴 외에 다른 활동도 얼마든지 진행할 수 있다. 잠재적 위험이 높다는 것이다. 이셋은 발견되기 이전에 빅토리게이트가 다른 활동을 하고 있었을 가능성도 높다고 보고 있다.
“그렇게 보는 이유는 공공 부문과 민간 부문의 조직들에서 이 봇넷의 감염 흔적을 찾아냈기 때문입니다. 다양한 멀웨어를 설치할 수 있는 기능을 선두에 세워 여러 분야에서 다양한 활동을 해왔거나, 그런 과정에 있을 가능성이 높습니다.”
현재 빅토리게이트는 시스템을 장악한 뒤 CPU 자원을 90~99% 잡아먹는 것으로 피해를 끼친다. 당연히 암호화폐 채굴로 모든 자원을 돌리는 것이다. 피해자로서는 시스템이 너무나 느려 사용이 힘들다고 느껴지게 된다. 또한 빅토리게이트는 스스로를 전파하기 위해 USB를 감염시킨다. 자기 자신을 USB의 숨겨진 디렉토리로 전부 복제한 뒤, 윈도우 실행파일 형태로 압축시킨다고 한다. 따라서 피해자로서는 정상 USB로 보이며, 멀웨어의 발견이 힘들다.
빅토리게이트는 오토잇(AutoIt)으로 컴파일링한 스크립트를 정상적인 윈도우 프로세스들에 주입한다. 정상적으로 보이는 프로세스 안에서 이 스크립트는 C&C와 통신도 하고, 추가 페이로드를 다운로드 받고 실행도 한다. 또한 증식을 위해 USB가 연결되어 있는지도 확인하고, 그렇다면 감염시킨다.
감염되어 봇으로 변한 시스템들은 이제 C&C와 연결이 되어 있는 상태로, 파일을 다운로드 받아 실행시킬 수 있다. 뿐만 아니라 C&C로 시스템 정보를 전송하고, 악성 활동 실행이 잘 되고 있는지 알려줄 수도 있다. 시스템 정보란 사용자 이름, 호스트 이름, 안티멀웨어 제품, 오토잇 버전 등을 말한다.
현재까지 이셋이 발견한 ‘추가 페이로드’는 XM리그(XMRig)라는 채굴 소프트웨어였다. 주로 ucsvc.exe라는 프로세스에 주입되어 활동했다. 빅토리게이트는 새로 설치된 XM리그로 채굴을 하다가 사용자가 작업관리자 창을 여는 순간 채굴을 멈춘다. 시스템이 느려져 이상하게 생각한 사용자가 CPU 사용량 확인을 위해 작업관리자를 여는 것일 가능성이 높으므로, CPU가 정상적으로 작동한다고 속이기 위해서다. 사용자가 작업관리자를 닫는 순간 채굴은 다시 시작된다.
이셋은 “하루에 약 2000개의 봇들이 채굴을 진행한다”고 하며, “현재까지 최소 80 모네로를 채굴하는 데 성공한 것으로 보인다”고 말한다. 이는 약 6천 달러에 해당한다. “감염된 USB를 통해 확산한다는 게 비효율적으로 느껴질 수 있는데, 오히려 이렇기 때문에 빅토리게이트를 찾아내 제거한다는 게 더 힘들어집니다. 세상의 모든 USB를 다 점검할 수 없기 때문입니다. 분명 없앤다고 해도 어디선가 감염된 USB가 등장해 활동을 시작할 겁니다. USB가 너무나 흔하고 사용이 쉬운 장비라서 그런 겁니다.”
그렇기 때문에 이번에 서버 몇 가지 싱크홀링 했다고 해서 빅토리게이트가 제거되는 건 절대 아니라고 강조했다. “다만 추가 피해자가 채굴 코드를 인터넷으로부터 다운로드 받는 일은 당분간 없을 것입니다. USB를 통해 감염이 된다고 하더라도 C&C 서버를 저희가 망가트렸기 때문에 채굴은 하지 않는다는 겁니다. 다만 이전에 채굴을 해왔던 시스템들이라면 여전히 계속해서 채굴을 하게 될 겁니다.”
보다 상세한 정보는 이셋의 블로그(https://www.welivesecurity.com/2020/04/23/eset-discovery-monero-mining-botnet-disrupted/)를 통해 열람이 가능하다.
3줄 요약
1. 남미 지역에서 극성 중인 봇넷, 빅토리게이트 발견됨.
2. USB를 통해 퍼지며, 추가 페이로드를 바꿔가며 설치할 수 있는 멀웨어임.
3. 현재는 XM리그라는 모네로 채굴 멀웨어가 빅토리게이트를 통해 퍼지는 상태임.
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
