암호화폐 멀웨어로 둔갑해 5년 동안 숨어 있던 모듈형 고급 멀웨어

요약 : 보안 외신 해커뉴스에 의하면 지난 5년 동안 한 번도 들키지 않고 활동해 온 멀웨어가 발견됐다고 한다. 이름은 스트라입트플라이(StripedFly)로, 리눅스와 윈도에서 모두 돌아가는 모듈형 멀웨어라고 보안 업체 카스퍼스키(Kaspersky)가 공개했다. 암호화폐 채굴 코드로 위장된 상태에서 지난 5년 동안 100만 대가 넘는 장비들을 감염시켰다. 감염시킨 후에는 여러 가지 모듈을 추가로 다운로드 받아 악성 행위들을 실시했는데, 주로 C&C 서버와 연결해 각종 정보를 빼돌리는 것이었다. 모네로를 채굴하는 모듈도 있었는데, 이는 눈속임 장치에 불과한 것으로 분석됐다.


배경 : 카스퍼스키가 스트라입트플라이의 샘플을 발견한 건 2017년의 일이다. 하지만 당시에는 암호화폐 채굴용 멀웨어인 것으로만 파악했다. 하지만 알고 보니 보다 거대한 공격의 의도가 배후에 있었다는 사실이 밝혀졌다. 정상적인 윈도 프로세스 중 하나인 wininit.exe를 통해 악성 셸코드를 삽입함으로써 공격을 시작하는 것으로 현재까지는 밝혀졌다.

말말말 : “스트라입트플라이는 TOR 네트워크를 통해 C&C와 교신합니다. 또한 깃랩이나 깃허브, 비트버킷 등과 같은 서비스를 악용하여 기능을 업데이트하기도 합니다. 들키지 않기 위한 모든 수단이 동원된 것이라고 볼 수 있습니다.” -카스퍼스키-
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>