새 암호화폐 채굴 캠페인...아파치 서버 취약점 악용

아파치 HTTP 서버에서 발견된 보안 취약점을 악용하는 암호화폐 채굴 캠페인이 발견됐다. 문제가 되고 있는 건 CVE-2021-41773으로, CVSS 기준 7.5점짜리 고위험군 취약점이다. 아파치 HTTP 서버 2.4.49 버전에서 발견됐으며, 익스플로잇에 성공할 경우 경로 조작 공격을 할 수 있게 해 준다. 경로 조작 권한을 가진 공격자는 원격 코드 실행까지 할 수 있게 된다.

보안 업체 벌체크(VulnCheck)는 “공격자들은 현재 이 취약점을 통해 리넉시스(Linuxsys)라는 암호화폐 채굴 멀웨어를 퍼트리고 있다”고 경고했다. “공격 시발점은 인도네시아 IP 주소를 가지고 있는 것으로 분석됩니다. 여기서부터 1단계 페이로드가 피해자의 컴퓨터에 다운로드 됩니다. 일종의 셸 스크립트로, 추가 페이로드를 다섯 개 웹사이트로부터 다운로드 받게 합니다. 이 웹사이트들은 전부 ‘정상 사이트’입니다. 공격자들이 이 사이트들을 미리 감염시켜 리넉시스 멀웨어를 호스팅 한 것입니다.”

피해자들의 정상 웹사이트에는 리넉시스만 호스팅되어 있지 않았다. “피해자 시스템이 재부팅될 때 리넉시스가 자동으로 재실행 되도록 하는 셸 스크립트도 같이 있었습니다. 보통 채굴은 시스템 재부팅 후 멈추는데, 그것까지도 공격자들이 염두에 둔 것입니다. 그 외에 윈도 실행파일도 두 개 있었는데, 공격자들이 윈도 기반 PC들도 공격 대상에 포함시켜 둔 것을 알 수 있습니다.”

리넉시스는 최근 수년 간 여러 캠페인에서 발견된 멀웨어다. 여러 공격자들이 다양한 방법으로 유포시켰다. 여러 취약점들이 익스플로잇 되기도 했는데, 가장 중요한 것 몇 가지는 다음과 같다.

1) CVE-2023-22527 : 아틀라시안 컨플루언스 데이터센터 및 컨플루언스 서버에서 발견된 템플릿 주입 취약점

2) CVE-2023-34960 : 카밀로 학습 관리 시스템에서 발견된 명령 삽입 취약점

3) CVE-2023-38646 : 메타베이스에서 발견된 명령 삽입 취약점

4) CVE-2024-0012 : 팔로알토네트웍스 방화벽에서 발견된 인증 우회 및 권한 상승 취약점

5) CVE-2024-9474 : 4)번과 동일

벌체크는 “앞으로도 악성 공격자들이 어떤 취약점을 익스플로잇 해 리넉시스를 퍼트릴지 알 수 없지만, 또 다른 취약점들을 이용할 것은 분명하다”고 강조한다. 그러면서 “자원이 비정상적으로 소모되고 있지 않은지 항상 모니터링 하는 게 중요하다”고 권고하기도 했다. “암호화폐 채굴 멀웨어는 컴퓨팅 파워를 훔쳐가는 것으로, 전기세에 직접적인 타격을 줍니다. 하지만 고지서를 통해 수상함을 감지하면 이미 많이 늦습니다.”

암호화폐 채굴, 사이버 범죄의 스테디셀러

암호화폐의 가치가 높아지면서 사이버 범죄자들 사이에서는 채굴 멀웨어가 꾸준한 인기를 끌고 있다. 암호화폐를 훔치고 빼앗아 가는 사이버 공격도 있는데, 이런 공격은 암호화폐 가치가 낮아지면 덩달아 인기가 떨어진다. 하지만 채굴은 암호화폐 시세가 높으나 낮으나 큰 변동 없이 꾸준히 사용된다. 종합적인 선호도 측면에서는 채굴 멀웨어가 앞서 있다고 할 수 있다.

둘 사이에는 중대한 차이가 있다. 암호화폐 탈취는 한 번에 큰 수익을 범죄자에게 가져다 준다. 하지만 요즘 암호화폐 관련 범죄 수사력과 공조력이 강해져, 탈취된 암호화폐가 세탁 과정 중에 발각돼 일부 혹은 전체가 환수되는 일이 점점 많아진다. 게다가 사건 규모가 커지는 게 보통이라, 추적 가능성도 높아진다. 이런 전략을 쓰는 대표적인 사이버 공격 그룹은 북한의 라자루스(Lazarus)다. 

암호화폐 채굴 멀웨어는 피해자가 컴퓨터를 켜고 있는 이상 아주 적은 양의 수익이지만 꾸준히 들어온다. 피해자에게 막대하진 않지만 황당한 피해를 안긴다. 컴퓨터 CPU 혹은 GPU가 빠르게 소모된다거나, 위에서 언급한 대로 전기세가 갑자기 폭증하는 식이다. 채굴 강도만 조절하면 피해자가 영원히 모를 수도 있다. 따라서 추적 가능성이 낮다. 

게다가 채굴로 얻어낸 것들은 공격자 입장에서는 빠른 수익이 된다. ‘탈취 멀웨어 심기 -> 지갑 주소 훔치기 -> 지갑 인증 장치 우회 -> 지갑 접속 후 자금 전송’ 등의 복잡한 과정을 거치지 않아도 된다는 의미다. 덜 귀찮은 공격이기에 암호화폐 가치가 오르든 내리든 한 번씩 시도해볼 수 있고, 그래서 채굴 공격은 스테디셀러의 위치를 유지하고 있다. 갑자기 장비 성능이 떨어지는 것처럼 느껴진다면 채굴 멀웨어 여부를 검사하는 게 안전하다.

Related Materials

• Hackers Exploit Apache HTTP Server Flaw to Deploy Linuxsys Cryptominer - The Hacker News, 2025년
• Hackers Exploit Apache HTTP Server Flaw to Deploy Linuxsys Cryptocurrency Miner - Cypro, 2025년
• Apache HTTP Server Bugs Impact Stability: Security Vulnerabilities and Cryptomining Risks - LinuxSecurity, 2024년
• Apache HTTP Server Vulnerability Security Advisory: Multiple Risks including Code Injection - British Columbia Government VRM, 2024년