마이크로소프트 “고성능 PC, 채굴 공격 노출”

출처 1: https://www.ithome.com/0/956/256.htm

IT홈 5월 28일 소식에 따르면, 마이크로소프트는 지난 5월 26일 연구 보고서를 통해 전 세계 고성능 윈도우 11 및 윈도우 10 컴퓨터를 노린 암호화폐 채굴 공격이 진행 중이라고 밝혔습니다.

공격자는 고성능 컴퓨터 사용자를 노려 CrystalDiskInfo, HWMonitor, Display Driver Uninstaller, FurMark, K-Lite Codec Pack, PDFgear 등 자주 사용되는 소프트웨어로 위장해 사용자를 유인하고 있습니다.

마이크로소프트에 따르면 사용자가 해당 프로그램을 검색할 경우 SEO 오염 기법으로 상단 노출된 악성 링크를 먼저 보게 될 수 있습니다. 또한 지난 4월 일부 보고서에서는 사용자가 AI 도우미에게 소프트웨어 다운로드 추천을 요청한 뒤 생성된 결과에 공격자 도메인이 포함된 사례도 확인됐습니다.

악성 다운로드 파일은 ZIP 압축 형태로 배포되며 gleeze 점 com 하위 도메인에 호스팅된 것으로 나타났습니다. 마이크로소프트는 해당 압축 파일 안에 정상 프로그램 실행 파일과 함께 자동으로 불러와지는 악성 DLL 파일이 포함되어 있다고 설명했습니다.

사용자가 겉보기에 정상적으로 보이는 프로그램을 실행하면 악성 DLL이 즉시 msiexec 점 exe를 호출해 vcredist_x64 점 dll로 위장한 ScreenConnect 원격 접근 구성 요소를 설치하며, 이를 통해 공격자는 추가 제어 권한을 확보합니다.

원격 세션을 확보한 이후 공격자는 SimpleRunPE 점 exe라는 설치 파일을 내려받아 실행합니다. 실행된 파일은 RuntimeHost 점 exe로 자신을 복제한 뒤 기본적으로 눈에 잘 띄지 않는 탐색기 위치에 숨겨지며, 이후 여러 윈도우 자동 실행 위치에 총 6개의 지속성 유지 장치를 생성합니다.

일부 사례에서는 이 프로그램이 악성 PowerShell 스크립트를 통해 설치되기도 하며, vlc 점 exe라는 이름으로 저장돼 VideoLAN 플레이어 실행 파일처럼 위장해 사용자의 경계심을 낮춥니다.

행위를 숨기기 위해 악성코드는 프로세스 홀로잉 기술을 사용해 마이크로소프트 서명이 적용된 닷넷 도구 내부에서 악성 코드를 실행했으며, InstallUtil 점 exe 등이 활용된 것으로 나타났습니다.

또한 PowerShell을 호출해 자신이 실행되는 경로와 프로세스를 마이크로소프트 디펜더 예외 목록에 추가했으며, 가상 머신 환경과 약 40개의 분석 도구 프로세스를 탐지할 경우 즉시 종료하는 기능도 포함된 것으로 확인됐습니다.

은폐 단계가 완료되면 공격 체인은 gminer, lolMiner, SRBMiner-MULTI 가운데 하나를 내려받아 실행하며, 이들 프로그램은 모두 GPU 기반 암호화폐 채굴용 소프트웨어입니다.

원문 출처: ITHome

※ 해당 기사는 퀘이사존 공식 기사가 아닌 해외 뉴스/기사를 번역한 기사입니다.
퀘이사존 견해와 주관은 포함되어 있지 않습니다.