2024-03-29 19:20 (금)
리눅스 악성코드, 해킹 된 IoT 기기들 이용해 대량 스팸메일 발송
상태바
리눅스 악성코드, 해킹 된 IoT 기기들 이용해 대량 스팸메일 발송
  • 길민권 기자
  • 승인 2017.09.28 17:56
이 기사를 공유합니다

encryption-9.jpg
리눅스 기반의 IoT 기기들을 감염시키는 미라이(Mirai)와 같은 봇넷들은 지속적으로 증가하고 있으며 주로 DDoS 공격을 실행하기 위해 설계 되었지만, 해외 보안연구원들은 범죄자들이 이 봇넷을 대량 스팸 메일을 보내는데 사용하고 있는 것을 발견했다.

연구원들은 사이버 범죄자들이 그들의 온라인 익명성을 보장하는데 사용한 Linux.ProxyM이라 명명 된 리눅스 악성코드가 최근 수익을 올리기 위해 대량 이메일 발송 기능을 추가하는 업데이트를 했다고 밝혔다.

Linux.ProxyM 리눅스 악성코드는 올해 2월 처음 발견 되었으며, 감염 된 IoT 기기에서 SOCKS 프록시 서버를 운영하며 멀웨어 연구원들이 숨겨둔 허니팟(honeypots)을 탐지해내는 기능이 있다.

Linux.ProxyM은 라우터, 셋탑박스, x86, MIPS, PowerPC, MIPSEL, ARM, Motorola 68000, Superh, SPARC 등을 사용하는 기타 장비들을 포함한 거의 모든 리눅스 기기에서 작동한다.

일단 Linux.ProxyM에 감염 되면, 기기는 C&C 서버에 연결하고 두 개의 인터넷 노드 주소를 다운로드 한다. 첫 번째 노드는 계정 및 패스워드의 리스트를 제공한다. 두 번째 노드는 SOCKS 프록시 서버를 운영하는데 필요하다.

이 C&C 서버는 SMTP 서버 주소, 여기에 접근하는데 사용 되는 크리덴셜, 이메일 주소 목록, 다양한 성인 컨텐츠 사이트들을 홍보하는 내용의 메시지 템플릿을 포함한 명령어를 보낸다. 이 악성코드에 감염 된 기기들은 평균적으로 하루에 400통의 이메일을 보낸다.

이 악성코드에 감염 된 기기들이 총 몇 대인지는 아직 밝혀지지 않았지만, 연구원들은 이 수치가 수개월 동안 변동이 있었다고 추측하고 있다.

지난 30일동안 실행 된 Linux.ProxyM 공격을 통해 감염 된 기기들 중 대 다수는 브라질과 미국에 이어 러시아, 인도, 멕시코, 이탈리아, 터키, 폴란드, 프랑스, 아르헨티나 순으로 위치하고 있었다.

연구원들은 “리눅스 악성코드들이 구현한 기능의 범위는 미래에 더욱 확장 될 것이라 추측하고 있다. IoT 기기들은 오랫동안 사이버 범죄자들의 타겟이 되어왔다. 다양한 하드웨어 아키텍쳐들을 감염시킬 수 있는 악성 리눅스 프로그램들이 광범위하게 배포되고 있는 것이 그 증거다”라고 밝혔다. [정보출처. 이스트시큐리티]

★정보보안 대표 미디어 데일리시큐!★


■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★