클라우드 보안 잘 이해하고 있는 공격자들, 클라우드 통해 암호화폐 채굴

요약 : 새로운 멀웨어 패밀리가 등장했다. 코인스톰프(CoinStomp)라고 하며, 아시아 지역의 클라우드 서비스를 주로 감염시킨다고 한다. 감염의 목적은 암호화폐의 채굴이다. 공격자들은 주로 타임스톰핑(timestomping)이라는 기술로 파일의 타임스탬프를 조작함으로써 암호화 관련 정책들을 무력화시킨 후 리버스 셸을 활용해 C&C 서버와 피해자 시스템을 연결시킨다고 한다. 그리고 이 연결 성립 후 채굴 코드를 설치해 암호화폐 채굴을 실시한다고 한다.


배경 : 코인스톰프는 잔테(Xanthe)라는 해킹 그룹에 의해 개발되었을 가능성이 있는 것으로 알려져 있다. 잔테는 abc봇(AbcBot)이라는 봇넷 멀웨어를 개발하고 운영하는 조직이다. 하지만 누군가 잔테로 시선을 돌리기 위해 코인스톰프에 잔테의 흔적을 남겼을 가능성도 다분하기 때문에 결론을 내리기는 어렵다.

말말말 : “공격자들은 클라우드 생태계의 보안 체제를 잘 이해하고 있는 모습을 보여주고 있습니다. 포렌식 방해 기능을 탑재하고, 암호화 관련 정책을 시간 조작으로 무력화시키는 모습은 보안에 대한 상당한 지식을 가지고 있음을 나타냅니다.” -카도시큐리티(Cado Security)-
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>