코인마이너 2

공격 대상으로 MS Exchange Server를 추가한 LemonDuck 악성코드

2018년 12월 말 처음 발견된 “LemonDuck”은 Linux 시스템을 대상으로 하여 Linux 루트 계정 비밀번호를 무차별 대입 공격을 통해 SSH 원격 접속을 하거나 Windows 시스템 대상으로 악성 문서 파일이 첨부된 메일을 통해 유포되었다. 하지만 2021년 3월경, “LemonDuck”이 공격 대상에 MS Exchange Server를 추가하였고, 해당 서버의 취약점을 악용하여 유포되기 시작했다. 해당 악성코드는 공격자의 서버에서 페이로드를 다운로드한 후 백신 프로그램으로 위장한 서비스를 생성해 코인 마이너를 등록하고, 공격에 사용된 웹 쉘을 사용자의 폴더에 숨긴다. 또한, 사용자의 PC에 관리자 권한이 있는 계정을 생성하여 RDP(원격 데스크톱) 연결을 활성화하고, 최종적으로 감염된 P..

[악성코드 분석] 코인마이너 KMSPico 10.2.2 분석

사용자의 동의 없이 가상화폐 채굴 프로그램을 실행시키는 악성코드 주의 1. 개요 최근 가상화폐에 대한 가치가 주목받고 있는 가운데 가상화폐 채굴 프로그램을 실행시키는 악성코드가 출현하고 있어 사용자의 주의가 필요하다. 이번에 발견 된 가상화폐 채굴 프로그램은 사용자 동의 없이 실행되기 위해 불법 윈도우를 이용하는 사용자들을 대상으로 유포하고 있다. 대게 불법 윈도우를 사용하는 이용자들은 정품인증을 받기 위하여 'KMSPico' 프로그램을 사용하는데, 특정 웹사이트에서 배포하는 'KMSPico 10.2.2.exe' 는 설치 시 ‘모네로’ 채굴 프로그램을 동작 시키고 있다. 복잡한 연산을 필요로 하는 채굴 작업은 컴퓨터에 부하를 발생시켜 작업지연이나 갑작스러운 종료를 초래할 수 있기 때문에 주의가 필요하다...