사이버 보안 회사, Guardicore 연구소, 1월 XNUMX일 약 XNUMX년 동안 운영되어 온 악성 암호화폐 채굴 봇넷의 식별 정보를 공개했습니다.
'라고 불리는 위협 행위자볼 가르'는 잘 알려지지 않은 알트코인인 Vollar(VSD)의 채굴을 기반으로 MS-SQL 서버를 실행하는 Windows 시스템을 대상으로 하며 Guardicore는 전 세계적으로 500,000개만 존재하는 것으로 추정합니다.
그러나 부족함에도 불구하고 MS-SQL 서버는 일반적으로 사용자 이름, 비밀번호, 신용 카드 정보와 같은 중요한 정보를 저장하는 것 외에도 상당한 처리 능력을 제공합니다.
정교한 암호화폐 채굴 악성코드 네트워크 식별
서버가 감염되면 Vollgar는 여러 백도어, 원격 액세스 도구(RAT) 및 암호화폐 채굴기를 배포하기 전에 "다른 위협 행위자의 프로세스를 부지런히 철저하게 종료"합니다.
60%는 짧은 기간 동안만 Vollgar에 감염된 반면, 약 20%는 최대 몇 주 동안 감염된 상태로 유지되었습니다. 피해자의 10%는 이번 공격으로 재감염된 것으로 나타났다. Vollgar 공격은 120개 이상의 IP 주소에서 시작되었으며 대부분은 중국에 있습니다. Guardicore는 새로운 피해자를 감염시키는 데 사용되는 손상된 시스템에 해당하는 대부분의 주소를 예상합니다.
Guidicore는 서버에 상주하는 위협 행위자를 눈감아주는 부패한 호스팅 회사를 비난하며 다음과 같이 말했습니다.
“안타깝게도 공격자가 IP 주소와 도메인 이름을 사용하여 전체 인프라를 호스팅할 수 있도록 허용하는 등록업체와 호스팅 회사를 인식하지 못하거나 부주의한 등록업체가 문제의 일부입니다. 이러한 공급자가 계속해서 다른 방향으로 눈을 돌린다면 대규모 공격은 계속해서 번성하여 장기간 동안 레이더망 아래서 작동할 것입니다.”
Vollgar 광산 또는 XNUMX개의 암호화폐 자산
Guardicore 사이버 보안 연구원인 Ophir Harpaz는 Vollgar가 대부분의 크립토재킹 공격과 차별화되는 많은 특성을 가지고 있다고 Cointelegraph에 말했습니다.
“첫째, Monero와 대체 코인 VSD(Vollar) 등 두 개 이상의 암호화폐를 채굴합니다. 또한 Vollgar는 개인 풀을 사용하여 전체 채굴 봇넷을 조정합니다. 이는 대규모 봇넷을 보유한 공격자만이 고려할 수 있는 작업입니다.”
Harpaz는 또한 대부분의 채굴 악성코드와 달리 Vollgar는 악성 암호화폐 채굴기 위에 여러 RAT를 배포하여 다양한 잠재적 수익원을 확보하려고 한다고 지적합니다. "이러한 액세스는 다크 웹에서 쉽게 돈으로 전환될 수 있습니다."라고 그는 덧붙입니다.
Vollgar는 거의 XNUMX년 동안 운영되었습니다.
연구원은 Guardicore가 Vollgar를 처음 식별한 시기를 구체적으로 밝히지 않았지만 2019년 XNUMX월 봇넷 활동이 증가하면서 회사가 악성 코드를 더 면밀히 조사하게 되었다고 밝혔습니다.
Harpaz는 “이 봇넷에 대한 심층 조사 결과, 처음으로 기록된 공격은 2018년 XNUMX월로 거슬러 올라가며, 이는 거의 XNUMX년 동안 활동한 것으로 드러났습니다.”라고 Harpaz는 말했습니다.
사이버 보안 모범 사례
Vollgar 및 기타 암호화폐 채굴 공격으로 인한 감염을 방지하기 위해 Harpaz는 조직에 시스템의 사각지대를 검색할 것을 촉구합니다.
“넷플로우 데이터 수집부터 시작하여 데이터 센터의 어느 부분이 인터넷에 노출되어 있는지 전체적으로 살펴보는 것이 좋습니다. 지능 없이는 전쟁에 참여할 수 없습니다. 들어오는 모든 트래픽을 데이터 센터에 매핑하는 것은 암호화폐 채굴자들과의 전쟁에 맞서 싸우는 데 필요한 인텔리전스입니다.”
“다음으로 방어자는 액세스 가능한 모든 시스템이 최신 운영 체제와 강력한 자격 증명으로 실행되고 있는지 확인해야 합니다.”라고 그는 덧붙였습니다.
기회주의적 사기꾼은 코로나19를 이용합니다
최근 몇 주 동안 사이버 보안 연구원들은 알람 소리 코로나바이러스에 대한 두려움을 이용하려는 사기가 급증하고 있음을 알려드립니다.
지난 주 영국 카운티 규제 당국은 경고 사기꾼들은 질병통제예방센터(CDC)와 세계보건기구(WHO)를 사칭하여 피해자를 악성 링크로 리디렉션하거나 부정하게 비트코인(BTC)으로 기부금을 받고 있었습니다.
XNUMX월 초 ''라는 코로나바이러스 확산 추적 열 지도를 설치하는 것처럼 가장한 스크린 잠금 공격이 유포됐다.코비드락'로 확인됐다.
출처: https://cointelegraph.com/news/sophisticated-mining-botnet-identified-after-2-years