새로운 크립토재킹 캠페인 발견
사이버 보안 회사 Darktrace는 Windows Defender를 우회하고 암호화폐 채굴 소프트웨어를 배포하도록 설계된 새로운 크립토재킹 캠페인을 확인했습니다. 이 캠페인은 7월 말 처음 발견되었으며, 컴퓨터의 처리 능력을 조용히 탈취하여 암호화폐를 채굴하는 다단계 감염 체인을 포함합니다.
Darktrace의 연구원 Keanna Grelicha와 Tara Gould는 crypto.news와 공유된 보고서에서 이 캠페인의 세부 사항을 설명했습니다.
PowerShell 악용 및 감염 과정
연구원들에 따르면, 이 캠페인은 PowerShell을 악용하여 Windows 기반 시스템을 특별히 타겟으로 하고 있으며, PowerShell은 Microsoft의 내장 명령줄 셸 및 스크립팅 언어로, 악의적인 행위자가 악성 스크립트를 실행하고 호스트 시스템에 대한 특권 접근을 얻을 수 있게 합니다.
이러한 악성 스크립트는 시스템 메모리(RAM)에서 직접 실행되도록 설계되어, 전통적인 안티바이러스 도구가 일반적으로 시스템 하드 드라이브의 파일을 스캔하는 방식으로는 악성 프로세스를 탐지할 수 없습니다.
이후 공격자는 IT 전문가들이 작업을 자동화하는 데 일반적으로 사용하는 Windows 도구인 AutoIt 프로그래밍 언어를 사용하여 합법적인 Windows 프로세스에 악성 로더를 주입하고, 이를 통해 암호화폐 채굴 프로그램을 다운로드하고 실행하여 시스템에 명백한 흔적을 남기지 않습니다.
환경 검사 및 권한 상승
추가 방어 수단으로, 로더는 샌드박스 환경의 징후를 스캔하고 설치된 안티바이러스 제품을 검사하는 등의 일련의 환경 검사를 수행하도록 프로그래밍되어 있습니다. Windows Defender가 유일한 활성 보호일 경우에만 실행이 진행됩니다.
또한, 감염된 사용자 계정이 관리 권한이 부족할 경우, 프로그램은 권한 상승을 위해 사용자 계정 제어 우회를 시도합니다. 이러한 조건이 충족되면, 프로그램은 NBMiner를 다운로드하고 실행하는데, 이는 Ravencoin (RVN) 및 Monero (XMR)와 같은 암호화폐를 채굴하기 위해 컴퓨터의 그래픽 처리 장치를 사용하는 잘 알려진 암호화폐 채굴 도구입니다.
Darktrace의 대응 및 경고
Darktrace는 자율 응답 시스템을 사용하여 “장치가 아웃바운드 연결을 하지 못하도록 방지하고 의심스러운 엔드포인트에 대한 특정 연결을 차단”함으로써 공격을 차단할 수 있었습니다.
Darktrace 연구원들은 “암호화폐가 계속해서 인기를 얻고 있으며, 현재 글로벌 암호화폐 시장의 시가 총액이 거의 4조 달러에 달하는 것을 보면, 위협 행위자들은 계속해서 암호 채굴을 수익성 있는 사업으로 보고 있을 것입니다,”라고 언급했습니다.
7월에 Darktrace는 악의적인 행위자들이 실제 회사를 사칭하는 복잡한 사회 공학 전술을 사용하여 사용자를 속여 암호화폐를 훔치는 악성 소프트웨어를 배포하는 수정된 소프트웨어를 다운로드하도록 유도하는 별도의 캠페인에 대해서도 경고했습니다. 앞서 언급한 크립토재킹 계획과는 달리, 이 접근 방식은 Windows 및 macOS 시스템 모두를 타겟으로 하였으며, 피해자들이 회사 내부자와 상호작용하고 있다고 믿고 자신도 모르게 실행되었습니다.
