요약 : 보안 외신 블리핑컴퓨터에 의하면 UNC4990이라고 분류된 해킹 단체가 USB를 통해 멀웨어를 퍼트리고 있다고 한다. USB에 악성 LNK 파일을 심고, 이를 피해자가 직접 열게 하는 것으로 공격은 시작된다. USB를 피해자의 손에 어떻게 넘겨주는지는 아직 밝혀지지 않았다. 악성 파일이 실행되면서 파워셸 스크립트가 발동된다. 그러면서 페이로드가 하나 다운로드 되고, 이 페이로드를 통해 특정 URL로 접속된다. 이곳에서부터 멀웨어 다운로더인 엠티스페이스(EmptySpace)가 설치되고, 엠티스페이스는 공격자의 C&C 서버와 연결된다. 그 다음은 콰이어트보드(Quietboard)라는 백도어와 여러 암호화폐 채굴 멀웨어가 설치된다. 공격자들은 각종 정보를 빼가고 암호화폐도 채굴한다.


배경 : 이 캠페인에는 공격자의 것으로 보이는 한 암호화폐 지갑 주소가 연루되어 있다. 이 지갑을 추적했을 때 공격자들은 5만 5천 달러 이상의 수익을 거둔 것으로 보인다. 다만 모네로 화폐는 추적이 어려워 계산에 포함되지 않았다. 공격자들이 심는 암호화폐 채굴 코드에는 모네로 채굴 코드도 포함되어 있다. UNC4990은 2020년부터 활동해 온 해킹 범죄 단체다.

말말말 : “공격자들이 공격에 활용하는 사이트는 깃허브, 비메오, 아스테크니카 등입니다. 페이로드를 사용자 프로파일이나 비디오 설명란에 일반 텍스트로 넣어놓습니다. 그래서 이를 단순하게 방문하면 아무런 위협이 되지 않습니다. 다만 이들의 공격 캠페인을 통하면 공격 코드로서 발동됩니다.” -블리핑컴퓨터-
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>