암호화폐 채굴 악성코드가 APT 공격 방식을 접목하면서 기업 네트워크를 위협하고 있다. 최근의 채굴 악성코드는 하드 디스크에 직접 저장되지 않으며, 익스플로잇 또는 원격 관리도구를 통해 제어돼 기존의 악성코드 탐지 기술로 찾아내기 어렵다
카스퍼스키랩은 남미 지역의 기업 네트워크를 공격하는 암호 화폐 채굴 악성코드 ‘파워고스트(PowerGhost)’를 발견했다고 밝히며 “사이버 범죄자들이 표적형 공격에 채굴 악성코드를 활용하고 있다. 채굴 악성코드의 공격으로 기업의 컴퓨터 네트워크 속도가 느려지고 전반적인 비즈니스 프로세스에 피해를 입게 된다”고 설명했다.
암호화폐 채굴 악성코드는 공격 대상 PC와 모바일 기기의 컴퓨팅 성능을 사용해 코인을 새로 생성한다. 채굴 악성코드는 당사자도 인지하지 못하는 사이에 그들의 컴퓨터와 기기를 활용하여 수익을 올림으로써 해당 사용자에게 피해를 입힌다.
채굴 악성코드는 랜섬웨어를 대체하는 악성 소프트웨어의 대표적인 유형이며, 최근 악성코드 개발자들은더 많은 수익을 올리기 위해 표적형 공격으로 전환하고 있다. 파워고스트는 기업 네트워크 내에 분산돼 워크스테이션과 서버를 모두 감염시킨다. 지금까지 브라질, 콜롬비아, 인도, 터키의 기업 사용자들이 주로 파워고스트 공격의 피해를 입었다.
파워고스트는 여러 가지 파일리스 기법을 사용하여 조심스럽게 기업 네트워크에 공격 기반을 마련한다. 컴퓨터 감염은 익스플로잇 또는 원격 관리 도구를 통해 원격으로 이뤄진다. 컴퓨터 감염 시 채굴 악성코드 본체는 하드디스크 저장 과정을 거치지 않고 다운로드 및 실행된다. 이러한 작업이 진행된 후에는 사이버범죄자들이 채굴 악성코드를 조작하여 자동 업데이트를 통해 네트워크 내로 악성코드를 확산시키고 암호 화폐 채굴 프로세스를 시작할 수 있다.
이창훈 카스퍼스키랩코리아 지사장은 “기업을 대상으로 하는 파워고스트 공격은 채굴 악성코드의 설치가 목적이며 이로 인해 암호 화폐 채굴 소프트웨어에 대해 새로운 우려가 발생하고 있다. 카스퍼스키랩에서 파워고스트를 조사한 결과 사이버범죄자들은 일반 사용자를 노리는 것을 넘어서 이제 기업으로도 관심을 돌리고 있음을 알 수 있다. 따라서 암호 화폐 채굴은 기업에 위협이 되고 있다”고 말했다.
