Offcanvas

랜섬웨어 / 보안 / 악성코드 / 애플리케이션

“MS 원드라이브 취약점 악용하는 새 크립토재킹 캠페인 발견돼”

2022.10.11 Apurva Venkat  |  CSO
사이버 보안 소프트웨어 업체 비트디펜더(Bitdefender)가 최근 새로운 크립토재킹(Cryptojacking) 캠페인을 발견했다. 이는 마이크로소프트 원드라이브(Microsoft OneDrive) 취약점을 악용하여 지속성을 확보하고, 감염된 장치에서 감지되지 않고 실행됐다.  
 
ⓒGetty Images Bank

지난 5월 1일부터 7월 1일까지 비트디펜더는 이 캠페인의 영향을 받은 약 700명의 사용자를 감지했다. 이번 주 발표된 보고서에 따르면 해당 캠페인은 4가지 암호화폐 채굴 알고리즘(Ethash, Etchash, Ton, XMR)을 사용해 감염된 컴퓨터당 평균 13달러 상당의 암호화폐를 채굴했다. 

이 크립토재킹 캠페인은 원드라이브 사이드로딩 취약점을 악용하는 것으로 조사됐다. 크립토재킹은 암호화폐를 채굴하기 위해 컴퓨팅 인프라를 무단으로 사용하는 것을 말한다. 비트디펜더에 의하면 이 새로운 크립토재킹 캠페인의 공격자는 가짜 secur32.dll 파일을 작성하여 원드라이브의 (알려진) DLL 사이드로딩 취약점을 악용하는 것으로 드러났다. 원드라이브 프로세스 중 하나에 로드되면 가짜 secur32.dll이 오픈소스 암호화폐 마이닝 소프트웨어를 다운로드하여 합법적인 윈도우 프로세스에 주입한다. 

사이드로딩은 장치의 운영체제 개발자가 기기에서 실행하도록 승인하지 않은 코드를 설치하는 것을 의미한다. DLL 파일은 더 큰 프로그램이 원래 프로그램의 비핵심 작업을 완료하는 데 도움이 되는 명령어를 포함한 작은 프로그램 모음이다. 

원드라이브 사이드로딩 캠페인은 현재는 크립토재킹과 관련되지만 DLL 사이드로딩은 스파이웨어 또는 랜섬웨어 배포에도 사용될 수 있다. 아울러 암호화폐 채굴은 리소스 집약적이기 때문에 피해자는 CPU 및 GPU 성능 저하, 과열, 에너지 소비 증가 등의 손실을 즉각 입을 수 있다. 

기본적으로 원드라이브는 매일 재부팅되도록 예약돼 있으며, 새 크립토재킹 캠페인 배후의 공격자는 사용자가 OneDrive.exe 프로세스를 비활성화하더라도 재부팅 후에 실행되도록 설정한 것으로 밝혀졌다. 이 방법을 사용하면 공격자는 지속성을 얻을 수 있다는 게 보고서의 설명이다. 비트디펜더는 감지한 사례의 95.5%에서 예정된 재부팅이 악성 secur32.dll을 로드하는 것으로 나타났다고 전했다. 

원드라이브는 사용자 또는 컴퓨터별로 설치할 수 있다. 기본 사용자별 설치에서 원드라이브가 있는 폴더는 권한이 없는 사용자도 쓸 수 있으며 여기에 악성 DLL이 드롭되거나, 실행 파일이 수정되거나, 완전히 덮어쓸 수 있다고 보고서는 언급했다. 이어 “원드라이브를 악용하면 (악의적인) 행위자가 지속성을 쉽게 확보할 수 있기 때문에 이번 공격에서 원드라이브가 선택된 것”이라고 비트디펜더는 덧붙였다.

마이크로소프트는 프로그램 파일에서 컴퓨터별 설치 옵션을 선택하라고 권고했다. 단, 특정 상황에서는 장치별 설치가 항상 적절한 것은 아니기 때문에 비트디펜더는 사용자에게 바이러스 백신과 운영체제를 최신으로 유지하고, 크랙 소프트웨어 및 게임 부정행위를 금하며, 신뢰할 수 있는 위치에서만 소프트웨어를 다운로드하라고 권장했다. ciokr@idg.co.kr
 
CIO Korea 뉴스레터 및 IT 트랜드 보고서 무료 구독하기
추천 테크라이브러리

회사명:한국IDG 제호: CIO Korea 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아01641 등록발행일자 : 2011년 05월 27일

발행인 : 박형미 편집인 : 천신응 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.