위험한 봇넷 H2Miner가 다시 나타났습니다. 이 봇넷은 컴퓨터를 하이재킹하여 모네로(XMR)를 비밀리에 채굴하고, 경우에 따라 랜섬웨어를 배포합니다.
사이버 보안 연구자들은 이 악성코드가 2019년 처음 등장한 이후 확장되었다고 말합니다. 새로운 버전은 이제 리눅스 서버, 윈도우 데스크톱, 클라우드 컨테이너를 대상으로 합니다.
조용한 바이러스, 컴퓨터로 코인 채굴?
사이버 보안 회사 포티넷에 따르면, 공격자들은 알려진 소프트웨어 취약점을 악용하여 접근합니다. 여기에는 많은 시스템이 여전히 사용하는 Log4Shell과 Apache ActiveMQ가 포함됩니다.
일단 내부에 들어가면, 바이러스는 XMRig라는 합법적인 오픈 소스 채굴 도구를 설치합니다.
그러나 허락을 구하지 않고 백그라운드에서 실행되어, 해커들을 위해 컴퓨터의 처리 능력을 사용하여 모네로를 채굴합니다.
또한, H2Miner는 스마트 스크립트를 사용하여 안티바이러스 도구를 비활성화합니다. 이미 시스템에서 실행 중일 수 있는 다른 채굴자들을 종료합니다.
그런 다음, 자신의 행동의 흔적을 지웁니다. 리눅스에서는 10분마다 악성코드를 다시 다운로드하는 크론 작업을 설치합니다.
윈도우에서는 15분마다 조용히 실행되는 작업을 설정합니다.
랜섬웨어 변종, 피해 증가
바이러스는 암호화폐 채굴에 그치지 않습니다. Lcrypt0rx라는 새로운 페이로드는 컴퓨터를 잠글 수 있습니다.
이것은 컴퓨터의 시작을 제어하는 중요한 부분인 마스터 부트 레코드를 덮어쓰는 간단하지만 파괴적인 방법을 사용합니다. 이는 시스템이 제대로 부팅되지 않도록 할 수 있습니다.
이 랜섬웨어는 또한 가짜 시스템 설정을 추가하여 자신을 숨기고 지속성을 만듭니다.
이 캠페인은 저렴한 클라우드 서버와 잘못 구성된 서비스를 이용합니다. 기계가 감염되면, 악성코드는 다른 시스템을 감염시키기 위해 스캔합니다. 특히 도커 컨테이너와 알리바바 클라우드 같은 클라우드 플랫폼을 대상으로 합니다.
또한 USB 드라이브를 통해 전파되며, 안티바이러스 프로세스를 하나씩 종료합니다.
보안 전문가들은 H2Miner를 제거하려면 깊은 정리가 필요하다고 경고합니다. 모든 관련 크론 작업, 예약된 작업, 레지스트리 항목을 삭제해야 합니다.
숨겨진 스크립트가 하나라도 남아 있으면, 봇넷은 스스로를 재설치하고 비밀리에 모네로를 다시 채굴할 수 있습니다.
암호화폐 사용자, 트레이더들 알아야 할 점은?
이 공격은 암호화폐 지갑을 직접적으로 목표로 하지 않습니다. 대신, 컴퓨팅 파워를 훔쳐 공격자들을 위한 새로운 모네로 코인을 생성합니다.
위험은 특히 자체 호스팅 노드, 클라우드 채굴자, 관리되지 않는 VPS 서비스에 높게 도사리고 있습니다.
시스템이 과열되거나 갑자기 느려지면, sysupdate.exe 같은 비정상적인 프로세스나 반복적인 아웃바운드 연결을 확인해 보십시오.
모네로의 프라이버시 기능은 공격자들에게 매력적입니다. 그러나 사용자에게는 기기의 제어를 잃고, 알지 못한 채 암호화폐 범죄를 자금 지원하는 실제 위험이 있습니다.
비인크립토 웹사이트에 포함된 정보는 선의와 정보 제공의 목적을 위해 게시됩니다. 웹사이트 내 정보를 이용함에 따라 발생하는 책임은 전적으로 이용자에게 있습니다.
아울러, 일부 콘텐츠는 영어판 비인크립토 기사를 AI 번역한 기사입니다.