트렌드마이크로는 올해 7월 17일 이 익스플로잇 킷의 첫 번째 단서를 발견했다고 밝혔다. 하지만 중국 보안업체 치후 360은 이미 2017년 말 이 익스플로잇 킷의 활동 징후를 발견한 적이 있다.
이 EK는 다른 국가로 확산 되기 전 몇 달 동안 소규모로만 운영 된 것으로 추정되고 있다.
트렌드마이크로에 따르면, 언더마이너로 유입 되는 대부분의 웹 트래픽은 일본(70%)이었으며, 대만(10%), 한국(6%) 및 기타 국가 순으로 조사됐다.
이 익스플로잇 킷은 사용자를 악성코드에 감염시키기 위해 사용하는 익스플로잇의 수가 매우 적기 때문에 기술적인 측면으로 볼 때 이 익스플로잇 킷의 규모는 작다고 볼 수 있다.
연구원들이 발견한 언더마이너 익스플로잇 킷이 사용하는 익스플로잇은 아래 단 3가지였다.
△CVE-2015-5119=2015년 7월 패치 된 어도비 플래시 플레이어의 use-after-free 취약점
△CVE-2016-0189=2016년 5월 패치 된 인터넷 익스플로러의 메모리 손상 취약점
△CVE-2018-4878=2018년 2월 패치 된 어도비 플래시 플레이어의 use-after-free 취약점
이 취약점들은 다른 EK에서도 사용 된 적이 있다. 따라서 이 EK의 제작자들은 그들의 작업 수행을 위해 다른 EK를 카피한 것으로 추측된다.
이 EK가 최근 캠페인에서 사용한 악성코드 전달 매커니즘은 암호화 된 TCP 채널을 사용해 부트킷을 OS 지속성을 갖도록 먼저 배포하고 이후에 코인 마이너를 설치하는 것입니다.
트렌드마이크로는 이 코인 마이너를 'Hidden Mellifera'라 명명했으며, 멀웨어바이트(Malwarebytes)는 이를 중국 infosec이 분석 시 사용한 것과 동일한 이름인 'Hidden Bee'라 불렀다.
보안전문가들은 "지난 2~3년 간 익스플로잇 킷은 하락세를 보여왔으며 일반적으로 OS와 브라우저를 최신 버전으로 유지하기만 하면 감염을 차단할 수 있다"며 "새로운 익스플로잇들이 발견되고 있지만 이는 대부분 수명이 짧다. 뿐만 아니라 대부분 브라우저들이 해킹하기 더욱 힘들어 지고 있고 플래시 사용은 점차 감소하고 있기 때문이다"라고 전했다. [정보. 이스트시큐리티]
★정보보안 대표 미디어 데일리시큐!★