CWN(CHANGE WITH NEWS) - MS, 마인크래프트 서버 디도스 멀웨어 경고…윈도·리눅스 등에 감염 피해 일으켜

사이버 보안 전문 매체 블리핑컴퓨터가 ‘MCCrash’라는 봇넷이 윈도, 리눅스, 사물인터넷(IoT) 기기 감염을 통해 마인크래프트 서버에 디도스를 개시하는 사례가 발견됐다고 보도했다.

마이크로소프트 위협 정보팀이 발견한 MCCrash는 네트워크 내 다른 시스템에도 멀웨어를 감염시킬 수 있다. 현재 MCCrash에 감염된 기기 위치는 러시아로 확인됐으나 멕시코, 이탈리아, 인도, 카자흐스탄, 싱가포르 등에서도 피해 사례가 보고됐다.

마이크로소프트는 신규 보고서에 “MCCrash는 맞춤형 패킷을 사용하는 개인 마인크래프트 자바 서버를 겨냥한 공격을 개시할 목적으로 특수 설계됐다. 또, MCCrash는 다크넷 사이트나 사이버 공격 세력 전용 온라인 포럼에서 판매될 확률이 높은 것으로 추정된다”라고 작성했다.

마이크로소프트는 사용자가 가짜 윈도 제품 액티베이터 툴(Windows product activator tool)과 트로이 목마화된 바이크로소프트 오피스 라이선스 액티베이터(KMS 툴)을 설치한 뒤 기기가 MCCrash에 감염되는 것으로 파악했다.

보안 공격 툴에는 'svchosts.exe’라는 파일을 내려받는 악성 파워셸(PowerShell) 코드가 포함되었다. 'svchosts.exe’ 파일은 'malicious.py’를 실행한다. 이후 MCCrash는 IoT 기기와 리눅스 기기에서 SSH 무작위 키보드 입력 공격을 개시하면서 다른 네트워크도 감염시킨다.

또, MCCrash 감염 이후에는 윈도 환경과 리눅스 환경 모두 악성 파이썬 파일을 처음 실행하면, 포트 4676을 통해 C2와 TCP 통신 채널을 구축하고는 운영 시스템 정보를 비롯한 기본 호스팅 정보를 전송한다.

MCCrash는 초기 통신 시 확인한 운영체제 유형을 기준으로 C2 서버에서 암호화 명령을 받는다. 지금까지 발견된 명령 대부분 마인크래프트 서버의 디도스 공격 개시에 특화되었다. 또, 마이크로소프트 측은 ‘ATTACK_MCCRASH’가 공격 표적이 된 서버 보안 침입을 개시하는 신규 서버의 등장에도 주목했다.

마이크로소프트 측은 MCCrash가 주로 마이크로소프트 서버 1.12.2 버전을 겨냥하지만, 실제로 1.7.2 버전부터 1.18.2 버전까지 여러 버전의 보안이 취약하다고 경고했다. 다만, 올해 배포된 1.19 버전은 지금까지 ATTACK_MCCRASH와 ATTACK_[MCBOT|MINE], ATTACK_MCDATA 등의 공격을 받은 사례가 없다.

[ⓒ CWN(CHANGE WITH NEWS). 무단전재-재배포 금지]