마이크로소프트 데이터베이스관리시스템(DBMS)인 SQL서버를 공격해 암호화폐 채굴 악성코드에 감염시키는 봇넷이 발견됐다. 이 봇넷은 지난 2년간 활동한 것으로 조사됐다.
보안 기업 가디코어는 지난 1일 이같은 내용을 담은 보고서를 발표했다.
보고서는 이 봇넷을 '볼가'로 명명했다. 볼가는 암호화폐 모네로와 볼라를 주로 채굴했으며, 지난 2018년 5월부터 활동해왔다. 모네로 채굴에 초점을 맞췄지만 채굴 난이도가 점차 올라감에 따라 볼라 등 상대적으로 유명하지 않은 암호화폐 채굴도 시도하고 있다. 최근까지도 일 3천여개의 SQL서버의 DB 서버를 감염시키고 있으며, 매일 새 서버가 추가되는 등 활발하게 활동중이다.
볼가는 무작위로 정보를 대입해 계정 정보를 탈취하는 브루트포스 공격을 실시했다. 주된 공격 대상은 한국과 중국, 인도, 미국, 터키였다. 공격에 사용된 IP 주소 120개 이상이 발견됐으며, 대부분 중국 IP인 것으로 확인됐다. 공격자의 명령제어(C2) 서버도 중국 PC에서 운영된 것으로 조사됐다. IP에 따라 단기적으로 사용되거나, 몇 개월 이상 지속적으로 활성화된 경우도 발견됐다.
볼가에게 탈취된 SQL 서버의 60% 이상이 최대 이틀 정도의 짧은 기간 동안 암호화폐 채굴 악성코드에 감염돼 있었다. 그러나 20% 가량은 일주일 이상의 오랜 기간 동안 감염이 유지됐다.
관련기사
- 올 상반기 암호화폐 채굴 공격 전년比 9% ↑2020.04.03
- 암호화폐 채굴 해킹 90% 감소...공격 대상은 다양화2020.04.03
- 정부 연구기관 서버로 몰래 '가상화폐 채굴' 발각2020.04.03
- 암호화폐 채굴용 랜섬웨어 유포 ↑...비트코인 시세와 비례2020.04.03
감염된 서버의 10%는 이 악성코드에 재감염됐다. 이에 대해 가디코어는 "SQL서버 관리자가 전체 악성 모듈을 제대로 제거하지 않아 이같은 맬웨어가 서버에 다시 침입할 수 있었다"고 분석했다.
가디코어는 감염된 서버 관리자들을 위해 볼가에 의해 생성되는 악성 파일과 백도어 계정을 탐지할 수 있게 하는 스크립트를 깃허브 저장소에 게시했다.