2024-03-29 23:20 (금)
신종 익스플로잇 킷, 부트킷과 가상화폐 마이닝 악성코드 배포중...한국도 포함
상태바
신종 익스플로잇 킷, 부트킷과 가상화폐 마이닝 악성코드 배포중...한국도 포함
  • 길민권 기자
  • 승인 2018.08.01 22:23
이 기사를 공유합니다

code-820275_640.jpg
한국을 포함한 아시아 국가에서 주로 활동하며 부트킷과 가상화폐 마이닝 악성코드(CoinMiner)를 확산시키는 새로운 익스플로잇 키트가 발견되었다. 이 새로운 익스플로잇 킷(EK)은 '언더마이너(Underminer)'라 불린다.

트렌드마이크로는 올해 7월 17일 이 익스플로잇 킷의 첫 번째 단서를 발견했다고 밝혔다. 하지만 중국 보안업체 치후 360은 이미 2017년 말 이 익스플로잇 킷의 활동 징후를 발견한 적이 있다.

이 EK는 다른 국가로 확산 되기 전 몇 달 동안 소규모로만 운영 된 것으로 추정되고 있다.

트렌드마이크로에 따르면, 언더마이너로 유입 되는 대부분의 웹 트래픽은 일본(70%)이었으며, 대만(10%), 한국(6%) 및 기타 국가 순으로 조사됐다.

이 익스플로잇 킷은 사용자를 악성코드에 감염시키기 위해 사용하는 익스플로잇의 수가 매우 적기 때문에 기술적인 측면으로 볼 때 이 익스플로잇 킷의 규모는 작다고 볼 수 있다.

연구원들이 발견한 언더마이너 익스플로잇 킷이 사용하는 익스플로잇은 아래 단 3가지였다.

△CVE-2015-5119=2015년 7월 패치 된 어도비 플래시 플레이어의 use-after-free 취약점

△CVE-2016-0189=2016년 5월 패치 된 인터넷 익스플로러의 메모리 손상 취약점

△CVE-2018-4878=2018년 2월 패치 된 어도비 플래시 플레이어의 use-after-free 취약점

이 취약점들은 다른 EK에서도 사용 된 적이 있다. 따라서 이 EK의 제작자들은 그들의 작업 수행을 위해 다른 EK를 카피한 것으로 추측된다.

이 EK가 최근 캠페인에서 사용한 악성코드 전달 매커니즘은 암호화 된 TCP 채널을 사용해 부트킷을 OS 지속성을 갖도록 먼저 배포하고 이후에 코인 마이너를 설치하는 것입니다.

트렌드마이크로는 이 코인 마이너를 'Hidden Mellifera'라 명명했으며, 멀웨어바이트(Malwarebytes)는 이를 중국 infosec이 분석 시 사용한 것과 동일한 이름인 'Hidden Bee'라 불렀다.

보안전문가들은 "지난 2~3년 간 익스플로잇 킷은 하락세를 보여왔으며 일반적으로 OS와 브라우저를 최신 버전으로 유지하기만 하면 감염을 차단할 수 있다"며 "새로운 익스플로잇들이 발견되고 있지만 이는 대부분 수명이 짧다. 뿐만 아니라 대부분 브라우저들이 해킹하기 더욱 힘들어 지고 있고 플래시 사용은 점차 감소하고 있기 때문이다"라고 전했다. [정보. 이스트시큐리티]

★정보보안 대표 미디어 데일리시큐!★


■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★