이셋, 암호화 봇넷 'VictoryGate' 발견…감염 장치 90% 이상 '페루' 위치
이셋, 암호화 봇넷 'VictoryGate' 발견…감염 장치 90% 이상 '페루' 위치
  • 이광재 기자
  • 승인 2020.04.28 15:36
  • 댓글 0
이 기사를 공유합니다

주요 활동 ‘Monero’ 암호화폐 채굴…감염 매개체 ‘이동식 장치’

이셋코리아가 최근 ESET 연구원들이 ‘VictoryGate’라는 새로운 봇넷을 발견했으며 이 봇넷의 일부를 중단시켰다고 28일 밝혔다.

이셋에 따르면 VictoryGate는 2019년 5월부터 활동해 왔으며 감염된 장치의 90% 이상이 페루에 위치해 있다.

봇넷의 주요 활동은 Monero 암호화폐 채굴이다. 피해자 중에는 금융기관을 포함해 공공 및 민간 부문 조직을 포함돼 있다.

이 연구 과정에서 입수된 데이터와 비영리 Shadowserver Foundation과 공유한 데이터 덕분에 봇넷 작업의 최소 일부가 중단됐다.

매일 봇넷 명령 및 제어 서버에 연결하는 고유 IP 주소의 최대 수다. (제공=이셋코리아)
매일 봇넷 명령 및 제어 서버에 연결하는 고유 IP 주소의 최대 수다. (제공=이셋코리아)

이셋 연구원들은 봇넷의 동작을 제어하는 여러 도메인 이름을 ‘싱크홀링’해 봇넷의 슬레이브 컴퓨터가 원하는 명령을 전송하지 않고 단순히 봇넷 활동을 모니터링하는 시스템으로 대체시켰다.

이 데이터와 이셋 원격 분석을 기반으로 이셋은 이 캠페인 기간 동안 적어도 3만5000개의 장치가 VictoryGate에 감염된 것으로 추정하고 있다.

VictoryGate를 전파하는 데 사용되는 유일한 감염 매개체는 이동식 장치다.

봇넷을 조사한 이셋 연구원 알란 워버튼(Alan Warburton)은 “피해자는 어느 시점에서 감염된 컴퓨터에 연결된 USB 드라이브를 받는다. 감염되기 이전 포함된 이름과 아이콘이 동일한 모든 파일이 있는 것 같다. 이 때문에 내용은 언뜻 보기에 거의 똑같아 보일 것이다. 그러나 모든 원본 파일은 맬웨어의 복사본으로 대체됐다. 이를 예상하지 않은 사용자가 이 파일 중 하나를 열려고 하면 스크립트는 의도한 파일과 악성 페이로드를 모두 연다”고 언급했다.

워버튼은 또 “봇넷의 리소스 사용량이 매우 높아서 CPU 부하가 90%에서 99%로 일정하게 발생한다. 이로 인해 장치 속도가 느려지고 과열 및 손상이 발생할 수 있다”고 피해자의 컴퓨터에 미치는 영향에 대해 경고했다.

이셋 조사에 따르면 VictoryGate는 라틴아메리카 지역에서 관찰된 이전의 유사한 캠페인보다 탐지를 피하기 위해 훨씬 더 많은 노력을 기울였다.

또 봇마스터가 감염된 장치에 다운로드 및 실행된 페이로드의 기능인 암호화폐 채굴을 다른 악성 행위로 언제든지 업데이트할 수 있다는 사실을 감안할 때 상당한 위험이 따른다. 확인된 많은 피해자가 공공부문이나 금융기관에 있었기 때문에 특히 그렇다는 것.

한편 이셋코리아는 장치가 이 맬웨어에 감염된 것으로 의심되는 경우 무료 이셋 온라인 스캐너(ESET Online Scanner)를 사용해 컴퓨터를 치료할 수 있으며 1단계 모듈은 이셋 보안 제품에서 MSIL/VictoryGate로 탐지된다고 전했다.[파이낸셜신문=이광재 기자 ]


관련기사

댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.

  • 서울특별시 마포구 합정동 386-12 금성빌딩 2층
  • 대표전화 : 02-333-0807
  • 팩스 : 02-333-0817
  • 법인명 : (주)파이낸셜신문
  • 제호 : 파이낸셜신문
  • 주간신문   
  • 등록번호 : 서울 다 08228호
  • 등록일자 : 2009-04-10
  • 간별 : 주간  
  • /  인터넷신문
  •   등록번호 : 서울 아 00825
  • 등록일자 : 2009-03-25
  • 간별 : 인터넷신문
  • 발행 · 편집인 : 박광원
  • 편집국장 : 임권택
  • 전략기획마케팅 국장 : 심용섭
  • 청소년보호책임자 : 임권택
  • Email : news@efnews.co.kr
  • 편집위원 : 신성대
  • 파이낸셜신문 모든 콘텐츠(영상,기사, 사진)는 저작권법의 보호를 받은바, 무단 전재와 복사, 배포 등을 금합니다.
  • Copyright © 2021 파이낸셜신문. All rights reserved.
인터넷신문위원회 ND소프트