이번 연구내용은 프루프포인트와 중국 360 및 기타 보안기업들이 이 봇넷에 대해 보고서를 발표했으며 지금까지 Smominru의 수익은 약 360만 달러로 추정된다.
지금까지 공개된 보고서를 보면, Smominru 봇넷에 감염된 PC들은 이미 52만대가 넘었으며, 공격자들은 이 봇넷들을 통해 8천900개의 모네로를 채굴했다고 밝혔다.
Smominru 봇넷 조종자는 다양한 기술을 통해 호스트들을 감염시키며, 주로 ‘Eternal Blue(CVE-2017-0144)’를 이용하며, 일부는 EsteemAudit(CVE-2017-0176)을 이용하는 것으로 확인되었다. 이 두 취약점은 패치가 되어 있지 않은 윈도우 호스트를 공격 대상으로 한다.
이 봇넷은 리눅스 서버의 MySQL을 공격 타깃으로 할 뿐만 아니라, 윈도우 서버의 MSSQL DB도 타깃으로 한다.
보고서에 따르면 이 조직은 감염시킨 디바이스에 미라이 DDoS, 백도어 등 대량의 악성코드를 심어놓았지만 주요 목적은 모네로 채굴이라고 밝혔다.
싱크홀링이 수집한 데이터에 따르면, 주로 러시아, 인도, 대만, 우크라이나 및 브라질에서 감염 된 것으로 확인되었다.
싱크홀링과 프루프포인트에 따르면, 약 50만대 규모의 봇넷이라고 밝혔지만, 360은 최소 100만대 이상의 규모라고 추측하고 있다.
가디코어가 이전에 공개한 보고서에 따르면, 이 봇넷을 컨트롤하는 조직이 중국 대륙에 위치하고 있다고 밝혔지만, 프루프포인트는 IP스캔 결과 AS63199(미국)에 위치하고 있다고 밝히기도 했다. [정보출처. 이스트시큐리티]
★정보보안 대표 미디어 데일리시큐!★