최근 위협 행위자들이 고성능 컴퓨터를 대상으로 한 암호화폐 채굴(크립토재킹) 캠페인을 전개하고 있다. 이들은 CrystalDiskInfo, HWMonitor, Display Driver Uninstaller, FurMark, K-Lite Codec Pack, PDFgear 등 고성능 시스템에서 자주 사용되는 유틸리티 소프트웨어의 악성 다운로드 페이지를 통해 공격을 감행한다. 감염된 시스템에는 정식 원격 관리 도구인 ScreenConnect가 설치되어 지속적인 접근이 가능해지며, 추가 악성코드 설치도 이뤄질 수 있다.
Microsoft 연구진에 따르면, 이번 공격은 SEO 포이즈닝 기법을 활용해 검색 결과 상위에 악성 링크를 노출시키는 방식으로 시작된다. 일부 사례에서는 사용자가 AI 챗봇에 소프트웨어 다운로드를 문의할 때, 챗봇이 공격자가 통제하는 도메인으로 연결되는 링크를 추천하는 등 AI 챗봇도 악용된 것으로 나타났다. 악성 다운로드 파일은 정상 실행 파일과 함께 자동으로 로드되는 악성 DLL을 포함하고 있으며, 이 DLL은 msiexec.exe를 통해 ScreenConnect를 설치한다.
공격자는 추가로 SimpleRunPE.exe라는 바이너리를 드롭하여 여러 윈도우 자동 시작 위치에 6가지 지속성 메커니즘을 구축한다. 이 악성코드는 분석 환경이나 가상머신, 보안 도구가 탐지되면 실행을 중단하며, 정상적인 Microsoft 서명 유틸리티에 프로세스 할로잉 기법을 적용해 탐지를 회피한다. 이후 GPU를 활용한 암호화폐 채굴 프로그램(gminer, lolMiner, SRBMiner-MULTI) 중 하나를 다운로드해 실행한다. Microsoft는 이번 캠페인이 감염 장치당 GPU 채굴 효율 극대화에 초점을 맞췄다고 분석했다.
※ 이 글은 생성형 AI(gpt4.1)에 의해 요약되었습니다.