Home > 전체기사
네 가지 암호화폐 관련 공격 진행하는 새 백도어, 크립토시뷸
  |  입력 : 2020-09-03 10:53
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
암호화폐 채굴, 지갑 주소 바꿔치기, 관련 파일 빼돌리기 등 수행해
딱 2개 국가에서만 활동...운영자들, 탐지되는 것 극도로 우려하는 듯


[보안뉴스 문가용 기자] 한 번도 발견되지 않았던 멀웨어 패밀리가 등장했다. 이름은 크립토시뷸(KryptoCibule)이며, 암호화폐와 관련된 세 가지 유형의 공격을 실시할 수 있다고 한다. 보안 업체 이셋(ESET)이 조사한 바, 현재까지 피해자들은 체코와 슬로바키아에서 나타나고 있으며, 주로 해적판 소프트웨어와 영화, 게임 등을 통해 퍼지는 중이다.

[이미지 = utoimage]


체코어 및 슬로바키아어로 크립토시뷸은 ‘암호화양파’라는 뜻이라고 한다. ‘양파’라는 말은 크립토시뷸이 토르(Tor) 네트워크를 사용하기 때문에 붙여진 것으로 보인다. 크립토시뷸은 토르 네트워크만이 아니라 비트토렌트(BitTorrent) 프로토콜, 트랜스미션(Transmission)이라는 토렌트 클라이언트, 아파치 httpd(Apache httpd), 부루 SFTP(Buru SFTP) 서버를 공격에 활용한다는 특징을 가지고 있다. 타임스탬프 상으로 2018년 12월부터 활동을 시작한 것으로 보인다.

크립토시뷸이 가지고 있는 네 가지 암호화폐 관련 공격 기술은 다음과 같다.
1) 모네로(Monero) 채굴
2) 이더리움(Ethereum) 채굴
3) 암호화폐 지갑 주소를 클립보드에서 바꿔치기 함으로써 송금을 엉뚱한 곳으로 유도하기
4) 암호화폐와 관련된 파일들 훔치기

또한 크립토시뷸은 몇 가지 오픈소스 도구를 활용하기도 한다.
1) XM리그(XMRig) : CPU를 활용해 모네로를 채굴하는 오픈소스 도구
2) 카우파우마이너(kawpowminer) : GPU를 활용해 이더리움을 채굴하는 오픈소스 도구
3) 토르 : 1)과 2)를 채굴 서버에 연결할 때 토르 프록시를 활용한다

“크립토시뷸은 제일 먼저 장비의 배터리 상태와 최종 사용자 입력 시간을 확인합니다. 그리고 이를 바탕으로 주요 프로세스를 시작하거나 멈추죠. 만약 사용자가 3분 동안 아무런 입력 행위를 하지 않았고, 배터리가 30% 이상 있다면 GPU와 CPU를 무한정으로 돌립니다. 그 외의 상태라면 GPU는 발동시키지 않고 CPU만 제한적으로 이용해 채굴합니다. 배터리가 10% 미만이라면 채굴을 하지 않습니다.” 이셋 분석 보고서의 내용이다.

그러는 동안 클립보드 조작 요소는 계속해서 시스템 클립보드를 주시한다. 거래 행위가 발생하는 듯하면 클립보드에 저장된 암호화폐 지갑 주소를 공격자의 지갑 주소로 바꾼다. 이 방식으로 공격자들이 훔쳐낸 돈은 현재까지 1800 달러 정도 된다고 한다. 이 방식을 활용한 공격자들의 수익은 그리 높지 않은 것으로 보인다. 그 외에도 몇 가지 키워드를 사용해 파일시스템을 검색함으로써 특정 파일을 찾아 SFTP 서버를 통해 유출시키는 기능도 탐지됐다. 주로 암호화폐나 블록체인과 관련된 것들이다.

크립토시뷸에는 RAT 기능도 있다. 크립토시뷸 운영자들을 위한 백도어가 심기고, 이를 통해 운영자들이 임의의 명령을 실행시킬 수 있다는 것이다. 공격자들은 이를 통해 파워셸 스크립트와 추가 페이로드 등을 심을 수 있다. 이 RAT 요소와 통신할 때는 비트토렌트 프로토콜이 활용된다.

피해자가 불법 소프트웨어나 콘텐츠를 다운로드 받아 크립토시뷸에 감염된 설치 파일을 실행시키면, 시스템 감염, 즉 크립토시뷸의 발동은 배경에서 발생한다. 화면에는 피해자가 예상하고 있는 소프트웨어가 설치되거나 콘텐츠가 재생된다. 크립토시뷸은 C&C 서버와의 모든 통신을 토르 네트워크를 통해 진행한다. 크립토시뷸이 최초로 실행될 때, 호스트는 해당 크립토시뷸에 고유 식별자를 부여한다. 이 식별자 번호는 통신에 있어서 지속적으로 활용된다.

크립토시뷸은 방화벽 규칙도 생성해 공격에 활용되는 트래픽에 합법적인 이름들을 붙이고 보호한다. 동시에 이셋, 어베스트(Avast), AVG 제품이 있는지 확인한다. 모두 체코와 슬로바키아에 본사를 두고 있는 회사에서 만든 제품들이다. 공격 대상이 주로 체코인과 슬로바키아인들이라는 것과 겹치는 부분이다. 즉 공격자들이 현재까지는 공격의 표적들을 제한하고 있다는 뜻이다. 탐지되는 것을 극도로 우려한 것처럼 보인다.

“크립토시뷸은 2018년부터 공격 행위를 진행해 온 멀웨어로, 아직까지 왕성하면서도 조심스러운 활동을 이어가고 있습니다. 공격 범위를 좁게 유지한 덕에 아직까지 큰 관심을 받지 못했고, 이것이 공격자들의 의도인 것으로 보입니다. 또한 오픈소스 도구들과 합법적인 플랫폼을 적극 활용하고 있다는 것도 탐지가 잘 안 된 비결입니다. 하지만 계속해서 새로운 버전이 나오고 있고, 새로운 기능이 탑재되는 걸로 봐서 개발자들이 꾸준히 업그레이드 시키고 있다는 것을 알 수 있습니다.” 이셋 측의 결론이다.

3줄 요약
1. 전혀 새로운 멀웨어가 딱 두 나라에서 발견됨.
2. 네 가지 유형의 암호화폐 관련 공격을 실시하는 백도어.
3. 불법 소프트웨어와 콘텐츠, 게임을 통해 퍼져가고 있음.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
그린존시큐리티 4개월 배너모니터랩 파워비즈 6개월 2020년6월22~12월 22일 까지넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
코로나19 팬더믹 이후, 가장 기승을 부리고 있는 사이버 공격 유형은 무엇이라고 보시나요?
랜섬웨어
피싱/스미싱
스피어피싱(표적 공격)/국가 지원 해킹 공격
디도스 공격
혹스(사기) 메일
악성 앱
해적판 소프트웨어
기타(댓글로)