스타리도브리 공격
인기 있는 시뮬레이션 및 물리 기반 게임을 찾는 플레이어는 자신도 모르게 Windows 시스템에 숨겨진 암호화폐 채굴기를 설치했을 수 있습니다. 사이버 보안 연구원들은 2024년 12월 말에 StaryDobry라는 코드명의 이 대규모 작전을 처음 확인했습니다. 이 캠페인은 약 한 달 동안 지속되어 전 세계적으로 수많은 기계를 손상시켰다고 합니다.
목차
고성능 기계가 채굴에 활용됨
이 캠페인은 주로 여러 지역의 개인 사용자와 기업을 대상으로 했으며, 러시아, 브라질, 독일, 벨로루시, 카자흐스탄에서 눈에 띄는 감염률을 보였습니다. 공격자는 강력한 하드웨어를 갖춘 게임 설정에 집중함으로써 은밀한 채굴 작업의 효율성을 극대화했습니다.
미끼로 사용되는 인기 게임
공격은 위협적인 설치 프로그램을 잘 알려진 게임의 합법적인 사본으로 위장하는 데 의존했습니다. 미끼로 사용된 타이틀에는 BeamNG.drive, Garry's Mod, Dyson Sphere Program, Universe Sandbox 및 Plutocracy가 있습니다. 위협 행위자는 이러한 트로이 목마화된 설치 프로그램을 2024년 9월 초에 토런트 사이트에 업로드하여 이 작전이 신중하게 계획되었음을 나타냅니다.
감염된 설치 프로그램이 은밀한 공격 체인을 트리거합니다.
소위 '리팩'을 다운로드한 의심치 않는 사용자는 표준 설치 프로세스처럼 보이는 것을 제공받았습니다. 설치 중에 숨겨진 드로퍼 파일('unrar.dll')이 배포되어 백그라운드에서 실행되어 감염의 다음 단계가 시작되었습니다.
실제의 고급 회피 기술
진행하기 전에 드로퍼는 가상화 또는 샌드박스 환경에서 실행되지 않는지 확인하기 위해 여러 번 확인하여 정교한 회피 기능을 입증했습니다. 그런 다음 api.myip.com, ip-api.com, ipwho.is와 같은 외부 서비스에 연락하여 IP 주소를 수집하고 사용자 위치를 확인했습니다. 이 단계가 실패하면 시스템에는 불분명한 이유로 중국 또는 벨로루시의 기본 위치가 할당되었습니다.
복잡한 다단계 실행 프로세스
기계가 지문을 찍히자, 드로퍼는 'MTX64.exe'라는 또 다른 구성 요소를 해독하고 실행했습니다. 이 실행 파일은 시스템 디렉토리에 'Windows.Graphics.ThumbnailHandler.dll'이라는 이름으로 내용을 저장했습니다. 합법적인 오픈소스 프로젝트인 EpubShellExtThumbnailHandler에 따르면, 이 실행 파일은 Windows Shell Extension 기능을 오용하여 다음 페이로드인 'Kickstarter'를 로드했습니다.
Kickstarter 구성 요소는 암호화된 데이터 블롭을 추출하여 사용자의 AppData 디렉터리 내의 숨겨진 폴더에 'Unix.Directory.IconHandler.dll'이라는 이름으로 디스크에 썼습니다. 그런 다음 이 새 파일은 실제 암호화폐 마이너가 포함된 원격 서버에서 최종 단계 페이로드를 검색했습니다.
Stealthy Miner 배포 및 프로세스 모니터링
광부의 실행은 감지되지 않도록 면밀히 모니터링되었습니다. 작업 관리자('taskmgr.exe') 및 프로세스 모니터('procmon.exe')와 같은 시스템 모니터링 도구를 지속적으로 확인했습니다. 이러한 프로세스 중 하나가 감지되면 광부는 즉시 종료되어 조사를 피했습니다.
선택적 채굴을 위해 조정된 XMRig
이 작전의 핵심은 XMRig 마이너의 맞춤형 버전이었습니다. 최소 8개의 코어가 있는 CPU에서만 작동하여, 손상된 머신이 효율적으로 채굴할 수 있는 충분한 처리 능력을 갖도록 했습니다. 또한, 공격자는 공개 채굴 풀에 의존하는 대신, 자체 사설 서버를 설정하여 채굴 수익을 전적으로 자체 인프라로만 보냈습니다.
XMRig는 내장된 기능을 활용하여 명령줄 명령을 구문 분석하는 동시에 활성 모니터링 도구를 확인하기 위한 별도의 스레드를 유지했습니다. 이 지속적인 자체 방어 메커니즘은 채굴 활동을 사용자에게서 숨기는 데 도움이 되었습니다.
러시아의 단서를 이용한 미스터리 위협
작전의 규모와 정교함에도 불구하고 가해자의 신원은 여전히 알려지지 않았습니다. 그러나 연구원들은 캠페인 구성 요소에 포함된 러시아어 문자열을 발견했는데, 이는 공격이 러시아어를 사용하는 위협 행위자로부터 시작되었을 수 있음을 시사합니다.
StaryDobry 캠페인은 검증되지 않은 출처에서 소프트웨어를 다운로드하는 것과 관련된 위험을 강조합니다. 사이버 범죄자들은 게임 설치 프로그램을 미끼로 활용하여 손상된 시스템에 은밀하게 존재감을 유지하면서 숨겨진 채굴자를 배치했습니다. 이 사건은 위협 행위자들이 계속해서 기만적인 전술을 다듬고 있기 때문에 온라인에서 소프트웨어를 획득할 때 주의가 중요함을 강조합니다.
