Stantinko 봇넷, 암호화폐 채굴 모듈 배포해 ‘모네로’ 채굴했다

ESET, Stantinko 봇넷 범죄자들이 2018년 8월부터 암호화폐 채굴하기 시작했다고 공개

ESET 보안 제품 ‘2019 Gartner Peer Insights Customers’ Choice for Endpoint Protection Platforms’ 선정

[보안뉴스 원병철 기자] 2012년부터 활동하며 약 50만대의 컴퓨터를 제어하는 Stantinko 봇넷의 해커들이 최근 암호화폐 Monero의 채굴 모듈을 그들이 제어하는 컴퓨터에 배포하고 있음을 발견했다고 ESET(이셋)이 밝혔다. Stantinko 봇넷 해커들은 주로 러시아, 우크라이나, 벨로루시 및 카자흐스탄의 사용자를 표적으로 삼고 있었지만, 최근 이들이 암호화폐 채굴을 새로운 비즈니스 모델로 확장한 것 같다고 ESET은 밝혔다.

이번 연구를 수행한 ESET 맬웨어 분석가인 Vladislav Hr.ka는, “수년 간 클릭 사기, 광고 삽입, 소셜 네트워크 사기 및 자격 증명 도용을 해온 Stantinko는 Monero를 채굴하기 시작했다. 그들은 2018년 8월부터 그들이 제어하는 컴퓨터에 암호화폐 채굴 모듈을 배포해 왔다”라고 설명했다.

​ 

홍콩 반정부 시위자 대상으로 대규모 스피어 피싱 공격 있었다

NSHC, 홍콩 시위 참가자 대상 스피어 피싱 공격 분석 보고서 발표

[보안뉴스 원병철 기자] 전 세계를 뜨겁게 달아오르게 하고 있는 홍콩의 반정부 시위가 격화되고 있는 상황에서 시위 참가자를 대상으로 한 스피어 피싱 이메일(Spear phishing email)이 발견돼 충격을 주고 있다. NSHC는 3일 ‘홍콩 반정부 시위대를 대상으로 하는 위협 활동’이라는 제목의 보고서를 통해 이와 같이 밝혔다.

보고서에 따르면 2019년 10월 말, 홍콩 시위에 참여했던 참가자를 대상으로 발송된 스피어 피싱 이메일이 발견됐다. 스피어 피싱 이메일은 외국의 유명 법학 대학생이라고 자신을 밝힌 발신자로부터 “홍콩의 현 상황을 종식시킬 수 있는 방향”과 관련해 작성한 자신의 논문에 대해 피드백을 요청하는 내용을 포함하고 있었다. 해당 스피어 피싱 이메일 본문에는 구글 드라이브에 업로드 되어 있는 압축 파일을 다운로드 할 수 있는 링크를 포함하고 있었다.

​ 

참조사이트  
 http://www.dailysecu.com
 http://www.boannews.com
 http://www.boan.com
 http://www.dt.co.kr/
 http://www.datanet.co.kr/
 http://www.itdaily.kr


 [패치 및 업데이트]
 금일 최신 패치 및 업데이트는 없습니다.

 [최신 바이러스 정보]

Trojan/Win32.RL_Trickbot.R301608

최초 발견일: 2019-12-03

종    류: 트로이목마

형    태: 실행파일

감염/설치경로: 파일실행, 메일, 다운로드

설   명: ​Trojan/Win32.RL_Trickbot.R301608은 Windows 시스템을 대상으로 사용자의 개인 데이터를 도용하는 뱅킹

트로이목마이다.

  ​

[보안TIP]

국제 공조 이후 역사 속으로 사라진 아임랫 멀웨어

[보안뉴스 문가용 기자] 국제 공조로 악명 높은 원격 접근 트로이목마(RAT) 하나가 완전히 사라졌다. 이 멀웨어는 이미넌트 모니터(Imminent Monitor)라는 것으로, IM-RAT이라고 흔히 표기되었다. 하지만 이 IM-RAT도 역사로만 남게 되었다고 유로폴이 공식 발표했다.

아임랫(IM-RAT)은 피해자의 컴퓨터를 완전히 장악하도록 만들어진 멀웨어로, 약 124개국에서 발견되었으며, 1만 4500명이 넘는 사람들이 돈을 주고 구매해 사용한 전적을 가지고 있다. 아임랫 제거 작전을 주도한 건 유로폴과 호주연방경찰(AFP)이라고 알려져 있다. 그러나 유럽 여러 나라와 콜롬비아의 사법 기관들도 작전에 참여했다고 한다.

2019년 6월, 호주와 벨기에의 사법 당국은 아임랫 개발자와 그 개발자 밑에서 일하는 직원 한 명에 대한 수색 영장을 발부했다. 그리고 11월, 약 1주일 동안 아임랫의 공격 인프라를 폐쇄시키는 작전이 수행됐다. 또한 아임랫을 구매한 사람들을 체포하기 위한 작전도 동시에 펼쳐졌다. 아임랫을 가장 활발히 사용한 고객 13명이 체포됐고, 430개의 공격용 장비들이 압수됐다.

11월 마지막 주에는 호주와 콜롬비아, 체코, 네덜란드, 폴란드, 스페인, 스웨덴, 영국의 사법기관들이 일제히 움직여 아임랫과 관련된 인물들을 체포하고 장비를 압수하는 성과를 올렸다.

아임랫은 한 번 설치되면 장비를 공격자에게 완전히 넘기는 효과를 발휘한다. 공격자는 아임랫을 통해 피해자의 장비에 미리 설치되어 있던 백신 소프트웨어를 끄고, 임의의 명령을 실행시킬 수 있으며, 키스트로크를 저장하고, 비밀번호와 기타 데이터를 빼돌리고, 웹캠으로 사용자를 감시할 수도 있었다.

이런 다목적 멀웨어가 암시장에서 25달러라는 낮은 가격에 거래가 되고 있다는 것도 커다란 문제였다. 이 때문에 많은 범죄자들이 사이버 공격 기술을 갖추지 못해도 사이버 공격을 실시할 수 있게 됐으며, 문제는 빠르게 확산됐다. 국제 공조가 이뤄진 이유도 바로 이 ‘낮은 가격’ 때문이라고 한다.

유로폴에 의하면 아임랫을 구매한 자들은 전 세계에서 수많은 사람과 단체를 공격했으며, 개인의 상세 정보와 비밀번호, 사적인 사진과 영상 등이 다량 도난당하기도 했다. 이런 데일은 이미 다크웹에서 활발히 거래되고 있는 상황이라고 한다.

“이제 누구나 나쁜 마음만 먹으면 단돈 25달러를 지급하고 지구 반대편에 있는 사람의 개인정보를 클릭 몇 번으로 훔칠 수 있는 시대입니다. 은밀하게 저장해둔 사진과 상세한 인적 사항들도 얼마든지 빠져나갈 수 있습니다. 이런 때 일반 대중들이 취할 수 있는 가장 간단한 조치는 OS와 소프트웨어를 늘 최신화하는 겁니다. 제품과 소프트웨어를 구매할 때도 업데이트가 충실히 이뤄지는 회사의 것을 사용하는 게 안전합니다.” 유로폴의 사이버범죄센터장인 스티븐 윌슨(Steven Wilson)의 권고다.

http://www.krcert.or.kr/data/secNoticeList.do
http://www.microsoft.com/korea/security/default.mspx
http://www.adobe.com/kr/downloads/updates/