리눅스용 멀웨어 파이루즈...메모리에서 곧바로 모네로 채굴해

요약 : 보안 외신 블리핑컴퓨터에 의하면 새로운 리눅스 멀웨어가 나타났다고 한다. 이름은 파이루즈(PyLoose)라고 하며 피해자 시스템의 메모리에서 곧바로 암호화폐를 채굴하는 기능을 가지고 있다. 파이루즈는 파이선을 기반으로 한 스크립트이며, 유명 채굴 코드인 XM리그(XMRig)를 품고 있다고 한다. 파이루즈 운영자들은 주피터노트북(Jupyter Notebook)이라는 서비스를 통해 피해자의 시스템에 침투하며, memfd라는 리눅스 유틸리티를 활용해 XM리크를 메모리에 로딩하는 것으로 분석된다.


배경 : 악성 기능을 메모리에서 곧바로 실행시키는 것을 ‘파일레스(fileless)’ 공격이라고 한다. 파일을 디스크에 남기지 않기 때문에 탐지가 까다롭다. OS와 플랫폼마다 파일레스 공격을 실행시키는 방법이 다른데 리눅스에서 memfd를 활용하는 기법은 이미 널리 알려져 있다.

말말말 : “파이루즈를 개발하고 운영하는 해킹 조직에 대해서는 아직까지 딱히 알려진 것이 없습니다. 누구인지 몰라도 자신들의 흔적을 꽤나 잘 지우고 있습니다.” -위즈(Wiz)-
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>