* 출처는 안랩입니다.
AhnLab Security intelligence Center(ASEC)은 과거 “광고 페이지를 통해 유포 중인 DigitalPulse Proxyware” [1] 블로그 포스팅을 통해 프리웨어 소프트웨어 사이트의 광고 페이지를 통해 Proxyware를 유포하는 공격 사례를 소개하였다. 동일한 공격자는 이후에도 지속적으로 Proxyware를 유포하고 있으며 국내에서도 다수의 감염 사례가 확인되어 최신 공격 사례 및 IoC를 공개한다. 최종적으로 설치되는 Proxyware는 과거 Proxyjacking 공격 캠페인에서 악용되었던 DigitalPulse의 Proxyware가 대부분이지만 이외에도 Honeygain의 Proxyware를 유포하는 사례도 함께 확인되고 있다.
1. Proxyjacking 공격
Proxyjacking 공격이란 사용자의 동의 없이 Proxyware를 설치하여 감염 시스템의 인터넷 대역폭 일부를 외부에 공유하는 방식으로 공격자들이 수익을 얻는 공격 방식이다. Proxyware란 설치된 시스템에서 현재 사용 가능한 인터넷 대역폭 일부를 외부에 공유하는 프로그램으로서 일반적으로 이를 설치하는 사용자는 대역폭을 제공하는 대신 일정한 금액을 받는다. 만약 공격자가 사용자의 동의 없이 감염 시스템에 Proxyware를 몰래 설치할 경우 감염된 시스템은 비자발적으로 네트워크 대역폭을 탈취당하게 되며 수익은 공격자에게 돌아가게 된다. 이는 Cryptojacking 공격과 유사한데 Proxyware 대신 코인 마이너를 설치하여 감염 시스템의 자원으로 암호 화폐를 채굴하는 것이 차이점이다.
Proxyjacking 공격은 ASEC 블로그뿐만 아니라 다른 여러 보안 업체들에 의해서도 보고되고 있으며 2023년에는 LevelBlue사에서 DigitalPulse라는 이름의 Proxyware를 설치하는 Proxyjacking 공격 캠페인이 소개되었다. 해당 사례에서는 최소 40만 대 이상의 윈도우 시스템을 감염시킨 것으로 알려졌다. [2] DigitalPulse Proxyware 공격 사례는 이전 블로그에서도 다루었다시피 국내에서도 다수 확인되고 있으며 최근에도 유사한 방식의 공격이 이루어지고 있다.
* 전체내용은 아래에서 확인하세요.
영
![[다나와래플] 8TB HDD 2일차 응모했네요.](https://img.danawa.com/images/attachFiles/6/884/5883151_18.png?fitting=Large|320:240&crop=320:240;*,*)
비
