적어도 2020년부터 활동 중인 것으로 보이는 루마니아 기반의 위협 그룹이 Golang으로 작성된 이전에 문서화되지 않은 SSH 무차별 대입 공격 프로그램을 사용하여 리눅스 기반 시스템을 대상으로 하는 활발한 크립토재킹 캠패인의 배후에 있는 것으로 드러났다.

더해커뉴스에 따르면, 비트디펜더 연구원은 지난주 발표한 보고서에서 Diicot brute라고 불리는 암호 크래킹 도구는 SaaS(software-as-a-service) 모델을 통해 배포되며 침입을 용이하게 하기 위해 고유한 API 키를 제공한다고 밝혔다.

캠페인의 목표는 무차별 대입 공격을 통해 원격으로 장치를 손상시켜 모네로 채굴 멀웨어를 배포하는 것이지만, 연구원들은 2021년 2월부터 Mexalz.us라는 도메인에서 호스팅된 XMRig 채굴 페이로드를 사용하여 Demonbot 변형 체르노빌 및 Perl IRC 봇을 포함한 최소 두 개의 DDoS 봇넷에 연결했다.

비트디펜더는 2021년 5월 그룹의 사이버 활동에 대한 조사를 시작하여 적의 공격 인프라와 툴킷이 후속적으로 발견했다고 말했다.

이 그룹은 또한 탐지에서 빠져나갈 수 있도록 하는 난독화 트릭에 의존하는 것으로도 알려져 있다. 이를 위해 Bash 스크립트는 쉘 스크립트 컴파일러(shc)로 컴파일되고, 공격 체인은 디스코드를 활용하여 자신이 제어하는 채널에 정보를 다시 보고하는 것으로 확인되었으며, 이는 명령 및 제어 통신을 위해 악의적 행위자들 사이에서 점점 더 흔해지고 있는 보안 회피 기술이다.

디스코드를 대이터 유출 플랫폼으로 사용하면 위협 행위자가 자신의 명령 및 제어 서버를 호스팅할 필요가 없으며, 멀웨어 소스 코드 및 서비스를 사고 파는데 중점을 둔 커뮤니티 생성 지원이 가능하다.

연구원들은 "약한 SSH 자격 증명을 노리는 해커들이 드문 일은 아니다. 보안에서 가장 큰 문제 중 하나는 기본 사용자 이름과 암호 또는 약한 자격 증명이 해커가 무차별 대입으로 쉽게 극복할 수 있다는 것이다. 단지 까다로운 부분은 이러한 자격 증명에 무차별 대입을 강제하는 것이 아니라 공격자가 감지되지 않도록 하는 방식으로 수행하는 것이다"라고 덧붙였다.

★정보보안 대표 미디어 데일리시큐!★