악명 높은 크로스 플랫폼 크립토 마이닝 맬웨어 LemonDuck이 오래된 취약점을 노려 윈도우 및 리눅스 운영 체제를 공격하는 기술을 지속적으로 개선하고 동시에 다양한 확산 메커니즘을 활용해 효율성을 극대화하고 있다.

마이크로소프트는 지난주 기술 문서에서 "봇넷과 암호화폐 채굴 목적으로 주로 알려진 강력한 악성코드 레몬덕(LemonDuck)이 보다 정교한 행동을 채택하고 운영을 확대하고 있다"고 밝혔다.

레몬덕 멀웨어는 기존 봇과 마이닝 활동에 리소스를 사용하는 것을 넘어 자격 증명을 훔치고 보안 제어를 제거하고 이메일을 통해 확산되고 측면으로 이동해 공격력을 강화하고 있다.

이 멀웨어는 감염된 네트워크 전체에 빠르게 전파되어 정보 도용을 용이하게 하고 컴퓨터 리소스를 활용해 암호화폐를 불법적으로 채굴하기 위해 악용되고 있다는 것이다.

특히 레몬덕은 자격 증명 도용과 랜섬웨어를 비롯한 다양한 악성 위협에 대한 게이트웨이 역할을 할 수 있는 차세대 임플란트 설치와 관련된 후속 공격에 대한 로더 역할을 하고 있어 각별한 주의가 요구된다.

레몬덕 활동은 2019년 5월 중국에서 처음 발견되었으며, 2020년 이메일 공격에 코로나19를 주제로 한 미끼를 채택하기 시작했으며 최근에는 패치되지 않은 시스템에 액세스하기 위해 "ProxyLogon" Exchange Server 결함을 해결했다.

주목할만한 또 다른 전술은 경쟁 맬웨어를 제거하고 액세스 권한을 얻는 데 사용한 것과 동일한 취약점을 패치해 새로운 감염을 방지하여 손상된 장치에서 다른 공격자를 지울 수도 있다고 한다.

레몬덕 공격은 주로 제조 및 IoT 부문에 집중되어 있으며 미국, 러시아, 중국, 독일, 영국, 인도, 한국, 캐나다, 프랑스 및 베트남이 가장 많이 발견됐다.

또한 마이크로소프트는 코드명 "LemonCat"에 대해, "Cat" 변종과 관련된 공격 인프라는 2021년 1월에 등장해 궁극적으로 마이크로소프트 익스체인지 서버를 대상으로 하는 취약점을 악용하는 공격에 사용되었다고 설명한다.

Cat 도메인을 이용하는 후속 침입으로 인해 백도어 설치, 자격 증명, 데이터 도용, 맬웨어 전달(종종 Ramnit이라고 하는 윈도우 트로이 목마)이 발견된 바 있다.

★정보보안 대표 미디어 데일리시큐!★