'Adylkuzz'라는 암호 화폐 광부, EternalBlue 및 DoublePulsar 악성 코드를 통해 네트워크 공격

악명 높은 WannaCry Ransomware가 2017년 사이버 보안 뉴스의 헤드라인을 장식한 동안, 악의적인 행위자들은 동일한 익스플로잇을 동시에 사용하여 Adylkuzz라는 암호화폐 채굴기를 퍼뜨렸습니다. WannaCry와 마찬가지로 Adylkuzz는 유출된 NSA 해킹 도구 를 사용하여 Microsoft Windows 네트워킹 취약점을 활용하고 감염된 장치에서 네트워킹을 비활성화하여 Adylkuzz가 여러 면에서 WannaCry 공격보다 앞선 것으로 보고 있습니다.

2017년에 대규모 랜섬웨어 공격이 EternalBlue 를 악용하여 전 세계의 LAN과 무선 네트워크를 감염시켰습니다. EternalBlue는 NSA 해킹 도구의 Shadow Brokers 덤프의 일부로 식별되었습니다. TCP 포트 445에서 Microsoft Server Message Block MS17-010 취약점을 활용하여 취약한 컴퓨터를 발견하고 악성 페이로드를 전파합니다. 공격자는 EternalBlue 를 DoublePulsar라는 다른 NSA 백도어 도구와 결합하여 악명 높은 랜섬웨어 위협 WannaCry 를 설치했습니다.

그러나 연구원들은 EternalBlue와 DoublePulsar를 모두 사용하여 컴퓨터를 감염시키는 또 다른 대규모 공격을 감지했지만 이번에는 Adylkuzz라는 암호화폐 채굴기를 사용했습니다.

이 발견은 EternalBlue에 취약한 실험실 기계를 의도적으로 노출시킨 후 이루어졌습니다. 사이버 보안 연구원은 EternalBlue를 통해 성공적으로 악용된 장치가 DoublePulsar에 감염되었음을 알아냈습니다. 그런 다음 DoublePulsar는 Adylkuzz가 다른 호스트에서 실행할 수 있는 길을 열었습니다. 광부는 SMB 통신을 차단한 후 피해자의 공용 IP 주소를 확인하고 특정 정리 도구와 함께 마이닝 지침을 다운로드했습니다. Adylkuzz는 이 특정 사례에서 Monero 암호 화폐를 채굴하는 데 사용되었습니다. 이 공격과 관련된 여러 Monero 주소 중 하나를 관찰한 결과 해당 주소에 $22,000가 지불된 후 채굴이 중단되었음을 알 수 있습니다. 하나의 특정 주소와 관련된 일일 채굴 지불은 또한 공격자가 너무 많은 Monero 코인이 단일 주소로 전송되는 것을 피하기 위해 여러 주소 사이를 정기적으로 전환했음을 보여줍니다.

Adylkuzz의 일반적인 증상으로는 공유 Windows 리소스에 대한 액세스 손실 및 PC 성능 저하가 있습니다. 대규모 기업 네트워크에 대한 WannaCry 공격이 의심되는 여러 사례에서 몸값 메모가 없다는 것은 보고된 네트워킹 문제가 실제로 Adylkuzz 활동과 관련되었음을 의미합니다. 연구원들은 Adylkuzz 설치 통계가 광부가 영향을 받는 컴퓨터에서 SMB 네트워킹을 종료하고 동일한 취약점을 통해 추가 맬웨어 위협의 설치를 방지하기 때문에 WannaCry 공격보다 훨씬 더 큰 영향을 시사한다고 주장합니다. 따라서 Adylkuzz는 실제로 해당 기간 동안 WannaCry 전파를 제한했을 수 있습니다. 12개 이상의 활성 Adylkuzz 명령 및 제어 서버와 함께 20개 이상의 스캔 및 공격 호스트가 조사 중에 식별되었습니다.

현재 유출된 EternalBlue 및 DoublePulsar 해킹 도구가 악용하는 취약점이 패치되었으므로 개인과 조직은 Windows 컴퓨터를 항상 최신 상태로 유지해야 합니다.