2021년부터 中은 가상화폐 시정 노력을 강화하고 가상화폐 거래 플랫폼을 차단하는 관련 정책을 연속적으로 발표했으며 이후 가상화폐 채굴 활동 시정에 대한 통지를 발표하고 가상화폐에 대한 종합적인 검토를 강조했다. 그럼에도 불구하고 마이닝 트로이목마류는 여전히 성장하고 있으며 기존에 식별된 트로이목마 또한 활성 상태를 유지하고 있다.

이에 클라우드 데이터를 기반으로 中보안업체 윈협 인텔리전스 팀은 활성화된 마이닝 트로이목마를 계속 추적하고 많은 트로이목마를 탐지하여 마이닝 트로이목마의 개발 동향을 분석 및 요약했다.

마이닝 트로이목마는 2020년과 비교했을 때 주로  아래와 같은 추세를 보였다.

  1. Go 언어가 트렌드가 되다 :  최근 몇 년 간 Go 언어의 인기로 인해 점점 더 많은 마이닝 트로이목마 공격 조직인 Go 언어를 사용하여 악성코드를 개발하기 시작했다. 이에 中 보안업체는 2021년 급부상한 12개 대규모 마이닝 트로이목마를 모니터링했고 이 중 5개가 Go 언어로 개발된 사실을 확인했다. 마인이 트로이 목마가 Go 언어를 선호하는 주된 이유는 수익을 극대화 하기 위해 여러 플랫폼에 퍼지는 경우가 많으며 Go 언어의 특징이 바로 플랫폼 간 컴파일을 지원한다는 것이다. 악성코드 개발자는 Go 언어를 통해 서로 다른 운영체제에 대한 해당 악성코드를 컴파일 할 수 있도록 개발주기 및 유지보수 비용 절감, 개발의 어려움을 줄이고 개발의 효율성을 높일 수 있다. 최근 몇년 간 Go 언어로 개발된 트로이목마는 DDG, GuardMiner, H2Miner, TeamTNT, Sysrv-hello, SupermanMiner, HolesWarm, Abcbot, WorkMiner가 있다.
  2. 일반 문자 통신 -> 암호화 통신 : 마이닝풀과 마이닝 프록시에 직접 연결하여 마이닝 하는 경우 네트워크 트래픽의 특성이 뚜렷하여 보안 장비에 의해 탐지되기 슆다. 보안장비의 탐지에 대응하기 위해 점점더 많은 마이닝 트로이목마 공격조직은 마이닝 트래픽의 암호화를 선택한다. 예를들어 HolesWarm 제품군은 마이닝에 암호화된 트래픽을 사용한다.
  3. 강력한 취약점 통합 기능 : 금전 탈취를 위해 마이닝 트로이목마 공격 조직은 더 효과적인 1/N Day 취약점을 통합하여 더 많은 감염을 통해 수익을 얻는다. HolesWarm 제품군은 지난 11월, 약 19가지 취약점을 악용했으며 측면 공격이 수행된 기업이 31개에 달했다.

[출처 : 中보안매체 / 1.11.]