요약 : 보안 외신 블리핑컴퓨터에 의하면 암호화폐를 몰래 채굴하려는 캠페인이 새롭게 발견됐다고 한다. 이 캠페인에는 REF4578이라는 이름이 붙었다. 캠페인을 진행하는 자들은 고스트엔진(GhostEngine)이라는 페이로드를 퍼트리고 있다. 고스트엔진은 취약한 드라이버들을 익스플로잇 하여 보안 장치들을 비활성화시키고 XM리그(XMRig)라는 암호화폐 채굴 도구를 심는다. 보안 업체 엘라스틱시큐리티(Elastic Security)와 애너티(Anity)가 각각 이 캠페인에 대한 보고서를 발표했는데 공격자는 물론 피해자까지 밝히지 않고 있어 사실상 이 캠페인의 정확한 내용은 알 수 없는 상태다.


배경 : 고스트엔진이 최초에 어떻게 피해자의 컴퓨터에 침투하게 되는지도 아직 알 수 없다. 다만 최초 침투 성공 이후 Tiworker.exe라는 파일을 실행한다는 사실만 알려져 있다. 이 파일은 get.png라는 파워셸 스크립트를 다운로드 받고, 이 스크립트는 각종 모듈을 다운로드 받는다. 그러면서 윈도 디펜더가 무력화되고, 피해자 시스템에 최소 10MB의 공간이 있을 때 암호화폐 채굴 코드가 심겨진다.

말말말 : “수상한 파워셸 실행 흔적이나 행동 패턴이 나타나면 고스트엔진을 의심해야 합니다. 또한 암호화폐 채굴이 시작되면 시스템이나 네트워크 속도가 저하되니 그 점도 생각해두면 좋습니다.” -엘라스틱시큐리티-
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>