해커 그룹 Librarian Ghouls의 활동
Librarian Ghouls 해커 그룹이 수백 대의 러시아 장치들을 감염시켜 암호화폐를 채굴한 것으로 보입니다. 이는 사이버 보안 회사인 카스퍼스키의 보고서에서 드러났습니다. 이 해커 그룹은 Rare Werewolf로도 알려져 있으며, 정식 문서나 결제 요청서처럼 위장한 악성 소프트웨어가 포함된 피싱 이메일을 통해 시스템에 접근합니다.
감염 및 데이터 탈취 과정
해커들은 채굴을 시작하기 전에 우선 장치 정보를 스캐닝합니다. 이 악성 소프트웨어에 감염된 컴퓨터는, 해커들이 원격 연결을 설정하고 Windows Defender와 같은 보안 시스템을 비활성화한 후 사용됩니다.
카스퍼스키는 “우리는 공격자들이 이 기술을 통해 흔적을 감추고 사용자가 자신의 장치가 탈취당했음을 인식하지 못하도록 한다고 평가합니다”라고 밝혔습니다.
감염된 장치는 오후 1시에 켜졌다가 오전 5시에 꺼지도록 프로그래밍 되어 있으며, 해커들은 이를 이용하여 추가적인 무단 원격 접근을 설정하고 로그인 자격 증명을 훔칩니다.
최적의 크립토 마이너 구성 및 공격 분석
해커들은 로그인 자격 증명을 훔친 후, 기기의 가용 RAM, CPU 코어 및 GPU에 대한 정보를 수집하여 최적의 크립토 마이너 구성을 배포합니다. 마이너가 운영되는 동안 해커들은 마이닝 풀과의 연결을 유지하며 60초마다 요청을 보냅니다.
카스퍼스키는 “우리는 공격자들이 데이터 탈출뿐만 아니라 원격 접근 도구 배포 및 이메일 계정 손상을 위한 피싱 사이트 사용까지 포함하여 지속적으로 전술을 정제하고 있음을 관찰하고 있습니다”라고 전했습니다.
2024년부터 시작된 크립토재킹 캠페인은 현재까지 진행 중이며, 12월에 발각된 해킹 캠페인은 수백 명의 러시아 사용자에게 영향을 미쳤습니다. 특히 산업 기업과 공과대학교에 피해자가 보고되고 있으며, 벨라루스와 카자흐스탄에서도 추가 피해가 발생하고 있습니다.
해커 그룹의 출처 및 정치적 의도
이 그룹의 출처는 확립되지 않았지만, 카스퍼스키는 피싱 이메일이 “러시아어로 작성되었고 러시아 파일명을 포함하며, 러시아어 유인 문서와 함께 제공된다”고 밝혔습니다. 이는 이 캠페인의 주요 목표가 러시아에 거주하거나 러시아어를 사용하는 사람들일 가능성이 높다는 것을 시사합니다.
Librarian Ghouls는 해커티비스트일 가능성도 있습니다. 카스퍼스키는 이들이 시민 불복종의 형태로 해킹을 사용하여 정치적 의제를 홍보하는 해커티비스트일 수 있다고 추측하고 있습니다.
이들은 합법적이고 제3자 소프트웨어에 의존하는 기술을 사용하고 있습니다. 카스퍼스키는 “이 위협의 독특한 특징은 공격자들이 자사 악성 바이너리를 개발하는 것보다 합법적인 제3자 소프트웨어를 사용하는 것을 선호한다는 점입니다”라고 말했습니다. 이 그룹의 활동 기간은 확실히 밝혀지지 않았지만, 사이버 보안 회사 BI. ZONE은 Rare Werewolf가 최소 2019년부터 존재해 왔다고 11월 23일에 보고했습니다.
