Mimus ·£¼¶¿þ¾î, Proxyware, ¸®¹ö½º ½© ¾Ç¼ºÄÚµå ¼³Ä¡ÇÏ´Â ¿¬°ü °ø°Ý °¨Çà
¾È·¦ ASEC, Mimo ¹× ¿¬°ü °ø°Ý »ç·Ê °øÀ¯ ¡°ÃֽŠ¹öÀüÀ¸·Î ÆÐÄ¡ÇÏ°í, ¿ÜºÎ Á¢±Ù ÅëÁ¦Çؾߡ±
[º¸¾È´º½º ¹ÚÀºÁÖ ±âÀÚ] ÃÖ±Ù »çÀ̹ö °ø°ÝÀÚµéÀÌ ´Ù¾çÇÑ Ãë¾àÁ¡À» ¾Ç¿ëÇØ ¡®Mimo¡¯¶ó´Â ÄÚÀÎ ¸¶ÀÌ³Ê ¾Ç¼ºÄڵ带 ¼³Ä¡ÇÏ´Â Á¤È²ÀÌ µå·¯³µ´Ù. Mimo´Â Hezb¶ó°íµµ ºÒ¸®¸ç, 2022³â 3¿ù ·Î±×4¼Ð(Log4Shell) Ãë¾àÁ¡ °ø°ÝÀ» ÅëÇØ ÄÚÀÎ ¸¶ÀÌ³Ê ¾Ç¼ºÄڵ尡 ¼³Ä¡µÇ´Â »ç·Ê¿¡¼ À§Ç輺ÀÌ ÃÖÃÊ·Î È®ÀεƴÙ.
¡ãÃë¾àÁ¡ °ø°ÝÀ¸·Î ÄÚÀθ¶ÀÌ³Ê ¹× °¢Á¾ ¾Ç¼ºÄڵ尡 ¼³Ä¡µÈ´Ù[À̹ÌÁö=ASEC ºí·Î±×]
¾È·¦ ½ÃÅ¥¸®Æ¼ ÀÎÅÚ¸®Àü½º ¼¾ÅÍ ASEC(AhnLab SEcurity intelligence Center)¿¡ µû¸£¸é Mimo¸¦ ¾Ç¿ëÇÑ °ø°ÝÀÚÀÇ È°µ¿Àº 2022³â 3¿ù°æ¿¡ Log4Shell Ãë¾àÁ¡(CVE-2021-44228) °ø°ÝÀ» ÃÖÃÊ·Î ¡â2022³â 5¿ù, WSO2ÀÇ ¿ø°Ý ÄÚµå ½ÇÇà Ãë¾àÁ¡ CVE-2022-29464 °ø°Ý ¡â2022³â 6¿ù, ¾ÆƲ¶ó½Ã¾È ÄÁÇ÷ç¾ð½º(Atlassian Confluence) ¼¹öÀÇ Ãë¾àÁ¡ÀÎ CVE-2022-26134 °ø°Ý ¡â2023³â 5¿ù, Àμ⠰ü¸® ÇÁ·Î±×·¥ PaperCutÀÇ ¿ø°Ý ÄÚµå ½ÇÇà Ãë¾àÁ¡ÀÎ CVE-2023–27350¸¦ ¾Ç¿ëÇÑ °ø°Ý ¡âÃÖ±Ù¿¡´Â Apache ActiveMQ Ãë¾àÁ¡(CVE-2023-46604) °ø°Ý Á¤È²ÀÌ È®ÀεƴÙ.
ÇØ´ç Ãë¾àÁ¡Àº ¸ðµÎ ÆÐÄ¡µÆÁö¸¸, °ø°ÝÀÚ´Â ÀûÀýÇÏ°Ô °ü¸®µÇÁö ¾Ê´Â ½Ã½ºÅÛÀ» ´ë»óÀ¸·Î °ø°ÝÀ» Áö¼ÓÇÏ°í ÀÖ´Ù. ½Ã½ºÅÛ °ü¸®ÀÚ´Â »ç¿ë ÁßÀÎ ¼ºñ½º°¡ Ãë¾àÇÑ ¹öÀüÀÎÁö Á¡°ËÇÏ°í, ÃֽŠ¹öÀüÀ¸·Î ÆÐÄ¡ÇØ ±âÁ¸¿¡ ¾Ë·ÁÁø Ãë¾àÁ¡À¸·ÎºÎÅÍ °ø°ÝÀ» ¹æÁöÇØ¾ß ÇÑ´Ù. ¶ÇÇÑ ¿ÜºÎ¿¡¼ Á¢±ÙÇÒ ¼ö ÀÖ´Â ¼¹ö¿¡ ¹æȺ®°ú °°Àº º¸¾È Á¦Ç°À» ÀÌ¿ëÇØ Á¢±ÙÀ» ÅëÁ¦ÇÏ´Â Á¶Ä¡°¡ ¿ä±¸µÈ´Ù.
¡ãCVE-2022-26134 Ãë¾àÁ¡À» ÅëÇØ ¼³Ä¡µÈ Mimo ÄÚÀÎ ¸¶À̳Ê[ÀÚ·á=ASEC ºí·Î±×]
Áö±Ý±îÁö ¾Ë·ÁÁø °ø°Ý »ç·Ê´Â ¸ðµÎ ÃÖÁ¾ÀûÀ¸·Î Mimo Miner BotÀ̶ó°í ÇÏ´Â XMRig ÄÚÀÎ ¸¶À̳ʸ¦ ¼³Ä¡ÇÏ´Â À¯ÇüÀÌ´Ù. »ç·Ê¸¦ »ìÆ캸¸é Ãë¾àÁ¡ °ø°ÝÀ» ÅëÇØ ½ÇÇàµÈ ÆÄ¿ö½©Àº Batch ¾Ç¼ºÄڵ带 ´Ù¿î·ÎµåÇØ ½ÇÇàÇϴµ¥ ÃÖ±Ù¿¡´Â ¡®lnl.bat¡¯ ¶Ç´Â ¡®kill.bat¡¯À̶ó´Â À̸§ÀÌ »ç¿ëµÆ´Ù. ÇØ´ç Batch ¾Ç¼ºÄÚµå´Â À©µµ¿ì µðÆæ´õ¸¦ ºñÈ°¼ºÈÇÏ°í, ´Ù¸¥ ÄÚÀÎ ¸¶À̳ʸ¦ Á¦°ÅÇÑ ÀÌÈÄ ÃÖÁ¾ÀûÀ¸·Î ¡®ln.bat¡¯ ¶Ç´Â ¡®mad.bat¡¯À̶ó°í ÇÏ´Â ¡®Batch ¾Ç¼ºÄڵ塯¸¦ ¡®%TEMP%¡¯ °æ·Î¿¡ ´Ù¿î·ÎµåÇÏ°í ½ÇÇàÇÏ´Â ¿ªÇÒÀ» ´ã´çÇÑ´Ù.
ÇÑÆí ASEC´Â Mimo ¸¶ÀÌ³Ê ¿Ü¿¡µµ ¡®Mimus ·£¼¶¿þ¾î¡¯, ¡®Proxyware¡¯, ¡®¸®¹ö½º ½© ¾Ç¼ºÄڵ塯¸¦ ¼³Ä¡ÇÏ´Â ¿¬°ü °ø°ÝÀ» ÁøÇàÇÏ°í ÀÖ´Ù°í ¹àÇû´Ù.
¸ÕÀú, Mimus ·£¼¶¿þ¾îÀÇ °æ¿ì 2023³â¿¡ Mimo ¸¶À̳ʸ¦ À¯Æ÷ÇÑ ÁÖ¼Ò¿Í °°Àº °÷¿¡¼ È®ÀεƴÙ. ÇØ´ç Batch ¾Ç¼ºÄڵ带 ÅëÇØ ¼³Ä¡µÈ ·£¼¶¿þ¾î´Â ¡®mauri870¡¯À̶ó´Â À̸§ÀÇ °³¹ßÀÚ°¡ ¿¬±¸ ¸ñÀûÀ¸·Î °³¹ßÇÏ¿© ±êÇãºê¿¡ °ø°³ÇÑ ¼Ò½ºÄڵ带 ±â¹ÝÀ¸·Î ¸¸µé¾îÁ³´Ù. ÇØ´ç ¼Ò½ºÄÚµå´Â ´Ù¸¥ °ø°ÝÀÚ¿¡ ÀÇÇØ ÀÚÁÖ »ç¿ëµÇ°í ÀÖ´Â °ÍÀ¸·Î ÃßÁ¤µÇ¸ç, ¡®MauriCrypt¡¯·Î ŽÁöµÈ´Ù´Â ³»¿ëµµ Æ÷ÇԵŠÀÖ´Ù.
¡ã±êÇãºê¿¡ °ø°³µÇ¾î ÀÖ´Â ·£¼¶¿þ¾î ¼Ò½º ÄÚµå[ÀÚ·á=ASEC ºí·Î±×]
ÇØ´ç ¿ÀǼҽº ·£¼¶¿þ¾î¸¦ ¡®MauriCrypt¡¯·Î ºÎ¸¥´Ù. MauriCrypt´Â Go ¾ð¾î·Î °³¹ßµÆÀ¸¸ç °ø°ÝÀÚ´Â À̸¦ ÀÌ¿ëÇØ ·£¼¶¿þ¾î¸¦ Á¦ÀÛÇß´Ù. Mimus ·£¼¶¿þ¾î´Â MauriCryptÀÇ ¼Ò½ºÄÚµå¿Í ºñ±³ÇßÀ» ¶§ º°´Ù¸¥ Â÷ÀÌ°¡ Á¸ÀçÇÏÁö ¾ÊÀ¸¸ç °ø°ÝÀÚÀÇ C&C ÁÖ¼Ò, Áö°© ÁÖ¼Ò, À̸ÞÀÏ ÁÖ¼Ò¿Í °°Àº ¼³Á¤ µ¥ÀÌÅ͸¸ º¯°æµÆ´Ù.
¶ÇÇÑ, À¯Æ÷ ¹æ½Ä ¹× ¼³Ä¡ÇÏ´Â ½ºÅ©¸³Æ®´Â È®ÀεÇÁö ¾Ê¾ÒÁö¸¸ Mimo ÄÚÀÎ ¸¶À̳ʸ¦ À¯Æ÷ÇÏ´ø ½ÃÁ¡¿¡ °°Àº ÁÖ¼Ò¿¡¼ ¡®Proxyware¡¯¿Í ¡®¸®¹ö½º ½© ¾Ç¼ºÄڵ塯¸¦ ³»·Á¹ÞÀº À̷µµ Á¸ÀçÇÑ´Ù. Áï °ø°ÝÀÚ´Â ¼öÀÍÀ» âÃâÇϱâ À§ÇØ ·£¼¶¿þ¾î °ø°Ý ¹× ÄÚÀÎ ¸¶ÀÌ´× ¿Ü¿¡µµ Proxyware¸¦ ¼³Ä¡ÇÏ´Â Proxyjacking °ø°ÝÀ» ÇÔ²² »ç¿ëÇÑ °ÍÀ¸·Î ÃßÁ¤µÈ´Ù.
¡ãMimo ¸¶ÀÌ³Ê ¿¬°ü ÁÖ¼Ò¿¡¼ ´Ù¿î·ÎµåµÈ Proxyware[ÀÚ·á=ASEC ºí·Î±×]
Proxyware¶õ ¼³Ä¡µÈ ½Ã½ºÅÛ¿¡¼ ÇöÀç »ç¿ëÇÒ ¼ö ÀÖ´Â ÀÎÅÍ³Ý ´ë¿ªÆø ÀϺθ¦ ¿ÜºÎ¿¡ °øÀ¯ÇÏ´Â ÇÁ·Î±×·¥À¸·Î, ¼³Ä¡ÇÏ´Â »ç¿ëÀÚ´Â ´ë¿ªÆøÀ» Á¦°øÇÏ´Â ´ë½Å ÀÏÁ¤ÇÑ ±Ý¾×À» ¹Þ´Â´Ù. ¸¸¾à °ø°ÝÀÚ°¡ »ç¿ëÀÚÀÇ µ¿ÀÇ ¾øÀÌ °¨¿° ½Ã½ºÅÛ¿¡ Proxyware¸¦ ¸ô·¡ ¼³Ä¡ÇÒ °æ¿ì °¨¿°µÈ ½Ã½ºÅÛÀº ºñÀÚ¹ßÀûÀ¸·Î ³×Æ®¿öÅ© ´ë¿ªÆøÀ» Å»Ãë´çÇÏ°Ô µÇ¸ç ¼öÀÍÀº °ø°ÝÀÚ¿¡°Ô µ¹¾Æ°£´Ù. ÀÌ´Â Cryptojacking °ø°Ý°ú À¯»çÇѵ¥ Proxyware ´ë½Å ÄÚÀÎ ¸¶À̳ʸ¦ ¼³Ä¡ÇØ °¨¿° ½Ã½ºÅÛÀÇ ÀÚ¿øÀ¸·Î ¾ÏÈ£ÈÆó¸¦ Ã¤±¼ÇÏ´Â °ÍÀÌ Â÷ÀÌÁ¡ÀÌ´Ù.
ÀÌ¿Ü¿¡µµ Mimo ÄÚÀÎ ¸¶À̳ÊÀÇ ´Ù¿î·Îµå ÁÖ¼Ò¿Í µ¿ÀÏÇÑ ÁÖ¼Ò¸¦ C&C ¼¹ö·Î »ç¿ëÇÏ´Â ¸®¹ö½º ½© ¾Ç¼ºÄڵ嵵 È®ÀεƴÙ. °ø°Ý¿¡ »ç¿ëµÈ ¸®¹ö½º ½©Àº ¡®NHAS¡¯°¡ °³¹ßÇØ ±êÇãºê¿¡ °ø°³µÈ ¡®reverse_ssh¡¯¶ó´Â µµ±¸´Ù. ÀÌ´Â Go ¾ð¾î·Î °³¹ßµÆÀ¸¸ç C&C ¼¹ö¿ÍÀÇ Åë½Å¿¡ SSH ÇÁ·ÎÅäÄÝÀ» »ç¿ëÇÏ´Â °ÍÀÌ Æ¯Â¡ÀÌ´Ù.
NHAS ¸®¹ö½º ½©Àº ´Ù¸¥ ¹éµµ¾î ¹× RAT À¯Çüµé°ú ºñ±³Çؼ ¸í·É ½ÇÇàÀ̳ª ÆÄÀÏ ÀÛ¾÷, Æ÷Æ® Æ÷¿öµù°ú °°Àº ±âº»ÀûÀÎ ¸í·É¸¸ Á¦°øÇÑ´Ù. ±×·¯³ª À̸¦ ¼³Ä¡Çß´Ù´Â °ÍÀº °¨¿° ½Ã½ºÅÛ¿¡ ÄÚÀÎ ¸¶ÀÌ´×À̳ª Proxyware, ±×¸®°í ·£¼¶¿þ¾î¸¦ ¼³Ä¡ÇÔÀ¸·Î½á ¼öÀͻӸ¸ ¾Æ´Ï¶ó Ãß°¡ÀûÀÎ ÀÛ¾÷À» À§ÇÑ °¨¿° ½Ã½ºÅÛ Á¦¾î±ÇÀ» Å»ÃëÇϱ⵵ ÇÑ´Ù´Â Àǹ̴Ù.
[¹ÚÀºÁÖ ±âÀÚ(boan5@boannews.com)]
<ÀúÀÛ±ÇÀÚ: º¸¾È´º½º(www.boannews.com) ¹«´ÜÀüÀç-Àç¹èÆ÷±ÝÁö>