• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

취약점 노리는 코인 마이너 악성코드 ‘Mimo’... 랜섬웨어 등 연관 공격도 발견 2024.01.15

Log4Shell 취약점 공격 통해 코인 마이너 악성코드 ‘Mimo’ 설치
Mimus 랜섬웨어, Proxyware, 리버스 쉘 악성코드 설치하는 연관 공격 감행
안랩 ASEC, Mimo 및 연관 공격 사례 공유 “최신 버전으로 패치하고, 외부 접근 통제해야”

[보안뉴스 박은주 기자] 최근 사이버 공격자들이 다양한 취약점을 악용해 ‘Mimo’라는 코인 마이너 악성코드를 설치하는 정황이 드러났다. Mimo는 Hezb라고도 불리며, 2022년 3월 로그4셸(Log4Shell) 취약점 공격을 통해 코인 마이너 악성코드가 설치되는 사례에서 위험성이 최초로 확인됐다.

▲취약점 공격으로 코인마이너 및 각종 악성코드가 설치된다[이미지=ASEC 블로그]


안랩 시큐리티 인텔리전스 센터 ASEC(AhnLab SEcurity intelligence Center)에 따르면 Mimo를 악용한 공격자의 활동은 2022년 3월경에 Log4Shell 취약점(CVE-2021-44228) 공격을 최초로 △2022년 5월, WSO2의 원격 코드 실행 취약점 CVE-2022-29464 공격 △2022년 6월, 아틀라시안 컨플루언스(Atlassian Confluence) 서버의 취약점인 CVE-2022-26134 공격 △2023년 5월, 인쇄 관리 프로그램 PaperCut의 원격 코드 실행 취약점인 CVE-2023–27350를 악용한 공격 △최근에는 Apache ActiveMQ 취약점(CVE-2023-46604) 공격 정황이 확인됐다.

해당 취약점은 모두 패치됐지만, 공격자는 적절하게 관리되지 않는 시스템을 대상으로 공격을 지속하고 있다. 시스템 관리자는 사용 중인 서비스가 취약한 버전인지 점검하고, 최신 버전으로 패치해 기존에 알려진 취약점으로부터 공격을 방지해야 한다. 또한 외부에서 접근할 수 있는 서버에 방화벽과 같은 보안 제품을 이용해 접근을 통제하는 조치가 요구된다.

▲CVE-2022-26134 취약점을 통해 설치된 Mimo 코인 마이너[자료=ASEC 블로그]


지금까지 알려진 공격 사례는 모두 최종적으로 Mimo Miner Bot이라고 하는 XMRig 코인 마이너를 설치하는 유형이다. 사례를 살펴보면 취약점 공격을 통해 실행된 파워쉘은 Batch 악성코드를 다운로드해 실행하는데 최근에는 ‘lnl.bat’ 또는 ‘kill.bat’이라는 이름이 사용됐다. 해당 Batch 악성코드는 윈도우 디펜더를 비활성화하고, 다른 코인 마이너를 제거한 이후 최종적으로 ‘ln.bat’ 또는 ‘mad.bat’이라고 하는 ‘Batch 악성코드’를 ‘%TEMP%’ 경로에 다운로드하고 실행하는 역할을 담당한다.

한편 ASEC는 Mimo 마이너 외에도 ‘Mimus 랜섬웨어’, ‘Proxyware’, ‘리버스 쉘 악성코드’를 설치하는 연관 공격을 진행하고 있다고 밝혔다.

먼저, Mimus 랜섬웨어의 경우 2023년에 Mimo 마이너를 유포한 주소와 같은 곳에서 확인됐다. 해당 Batch 악성코드를 통해 설치된 랜섬웨어는 ‘mauri870’이라는 이름의 개발자가 연구 목적으로 개발하여 깃허브에 공개한 소스코드를 기반으로 만들어졌다. 해당 소스코드는 다른 공격자에 의해 자주 사용되고 있는 것으로 추정되며, ‘MauriCrypt’로 탐지된다는 내용도 포함돼 있다.

▲깃허브에 공개되어 있는 랜섬웨어 소스 코드[자료=ASEC 블로그]


해당 오픈소스 랜섬웨어를 ‘MauriCrypt’로 부른다. MauriCrypt는 Go 언어로 개발됐으며 공격자는 이를 이용해 랜섬웨어를 제작했다. Mimus 랜섬웨어는 MauriCrypt의 소스코드와 비교했을 때 별다른 차이가 존재하지 않으며 공격자의 C&C 주소, 지갑 주소, 이메일 주소와 같은 설정 데이터만 변경됐다.

또한, 유포 방식 및 설치하는 스크립트는 확인되지 않았지만 Mimo 코인 마이너를 유포하던 시점에 같은 주소에서 ‘Proxyware’와 ‘리버스 쉘 악성코드’를 내려받은 이력도 존재한다. 즉 공격자는 수익을 창출하기 위해 랜섬웨어 공격 및 코인 마이닝 외에도 Proxyware를 설치하는 Proxyjacking 공격을 함께 사용한 것으로 추정된다.

▲Mimo 마이너 연관 주소에서 다운로드된 Proxyware[자료=ASEC 블로그]


Proxyware란 설치된 시스템에서 현재 사용할 수 있는 인터넷 대역폭 일부를 외부에 공유하는 프로그램으로, 설치하는 사용자는 대역폭을 제공하는 대신 일정한 금액을 받는다. 만약 공격자가 사용자의 동의 없이 감염 시스템에 Proxyware를 몰래 설치할 경우 감염된 시스템은 비자발적으로 네트워크 대역폭을 탈취당하게 되며 수익은 공격자에게 돌아간다. 이는 Cryptojacking 공격과 유사한데 Proxyware 대신 코인 마이너를 설치해 감염 시스템의 자원으로 암호화폐를 채굴하는 것이 차이점이다.

이외에도 Mimo 코인 마이너의 다운로드 주소와 동일한 주소를 C&C 서버로 사용하는 리버스 쉘 악성코드도 확인됐다. 공격에 사용된 리버스 쉘은 ‘NHAS’가 개발해 깃허브에 공개된 ‘reverse_ssh’라는 도구다. 이는 Go 언어로 개발됐으며 C&C 서버와의 통신에 SSH 프로토콜을 사용하는 것이 특징이다.

NHAS 리버스 쉘은 다른 백도어 및 RAT 유형들과 비교해서 명령 실행이나 파일 작업, 포트 포워딩과 같은 기본적인 명령만 제공한다. 그러나 이를 설치했다는 것은 감염 시스템에 코인 마이닝이나 Proxyware, 그리고 랜섬웨어를 설치함으로써 수익뿐만 아니라 추가적인 작업을 위한 감염 시스템 제어권을 탈취하기도 한다는 의미다.
[박은주 기자(boan5@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>