리눅스 노리는 '카오스' 크립토마이닝 멀웨어 주의
상태바
리눅스 노리는 '카오스' 크립토마이닝 멀웨어 주의
  • 곽중희 기자
  • 승인 2022.12.13 14:19
  • 댓글 0
이 기사를 공유합니다

카오스 멀웨어 통해 시스템 침투해 가상자산 채굴해

리눅스 운영체제를 노리는 크립토마이닝이 성행하고 있어 주의가 필요하다.

사이버 보안 기업 트렌드마이크로 연구팀은 리눅스 사용자를 노리는 카오스(CHAOS) 멀웨어(Trojan.Linux.CHAOSRAT) 기반의 크립토마이닝 공격을 발견했다.

연구팀에 따르면, 카오스 멀웨어는 오픈소스를 기반으로 만들어졌다. 멀웨어는 리눅스의 보안 소프트웨어(SW)를 종료시키고, 시스템에 Monero(XMR) 가상자산 채굴기를 배포한다.

카오스 멀웨어는 /etc/crontab 파일을 변경해 시스템 안에 남아 Pastebin에서 10분마다 자신을 다운로드한다. 이후에는 XMRig 마이너, 구성 파일, 셸 스크립트, RAT 등 크립토마이닝에 필요한 추가 페이로드를 다운로드한다.

연구팀은 카오스 멀웨어가 주요 다운로더 스크립트와 추가 페이로드를 통해 시스템에서 호스팅돼 크립토마이닝을 유지하도록 만든다고 설명했다.

전문가에 따르면, 이번 크립토마이닝 공격자의 메인 서버는 러시아에 있으며 클라우드를 사용하고 있는 것으로 알려졌다.

또한 카오스 멀웨어는 홍콩에 있는 C&C 서버와 연결돼 있다. 멀웨어를 실행하면 인증에 필요한 JTW(JSON Web Token)를 사용해 주소와 기본 포트를 통해 C2 서버에 연결한다.

트렌드마이크로 연구팀은 “불법적인 가상자산 채굴에 멀웨어를 활용하는 사례가 늘고 있다. 이는 크립토마이닝 공격 수법이 점점 진화하고 있는 것을 보여준다. 따라서 기업과 개인은 모두 보안에 더욱 신경을 써야 한다”라고 강조했다.

 

*이 기사는 글로벌 정보 보안 블로그 ‘시큐리티 어페어즈(Secutiry Affairs)’의 설립자이자 유럽네트워크정보보안기구(ENISA) 소속 보안 전문가 피에루이지 파가니니(Pierluigi Paganini)와의 공식 파트너십을 통해 작성됐습니다.


관련기사

댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
0 / 400
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.