블로그 서비스 라이브저널에서 3300만 사용자 정보 유출되었나

수집 날짜

2020-05-29

원문 링크

https://www.boannews.com/media/view.asp?idx=88516

내용 요약

블로그 사이트 라이브저널(LiveJournal)의 사용자 2600만명의 개인정보가 다크웹에서 거래되고 있다고 한다. 현재 분석 결과 2014년부터 침해가 이뤄진 것으로 보이며 총 3300만여개의 계정이 해킹당한 것으로 나타났다. 공격자들이 해당 자료를 가지고 각종 사이트를 겨냥하여 크리덴셜 스터핑 공격을 실시했다고 한다.  또한 이미 협박을 받고 있다는 제보가 이어지고 있다고 한다. 현재 라이브저널 측은 해당 사실을 인정하지 않고 있다.

참고 : 크리덴셜 스터핑이란 공격자가 미리 확보해놓은 로그인 자격증명(크리덴셜, Credential)을 다른 계정에 무작위로 대입(스터핑, Stuffing)해보며 사용자의 계정을 탈취하는 공격 방식입니다.

부산대 온라인 강의 플랫폼, 3차례 해커 공격 당해

수집 날짜

2020-05-29

원문 링크

https://www.nocutnews.co.kr/news/5351331

내용 요약

부산대학교 온라인 강의 플랫폼 '플라토' 서버 해킹 시도가 잇따라 교육부가 조사에 나섰다고 28일 밝혔다. 5월 한달간 3차례에 걸쳐 공격을 받았으며 정보유출 등 다른 피해는 없었다고 대학측에서는 설명했다. 공격을 당한 2차례는 시스템 전체에 오류가 발생했던것으로 알려졌다. 해킹 시도 방식이나 시간대로 보아 같은 해커의 소행으로 보고 있으며 현재 조사중에 있다.

"군사기밀 노린 해킹 시도 급증...지난해 만 건 육박"

수집 날짜

2020-05-29

원문 링크

https://ytn.co.kr/_ln/0101_202005281022106942

내용 요약

국방부에따르면 해외에서 국방정보시스템을 해킹하려는 시도가 지난 2017년 4천여건에서 지난해 9천 500여건으로 늘었다고 한다. 대부분 중국과 미국의 IP였으며 한번도 뚫리지 않았다고 국방부는 설명했다. 현재 사이버 침해외 사전 공격 징후 확인등 안정성 확보 방안을 연구중이라고 설명했다.

"전자세금계산서 열어보기 전 잠시만요" 국세청 메일로 위장한 악성코드 유포

수집 날짜

2020-05-29

원문 링크

https://www.ajunews.com/view/20200527224009066

내용 요약

27일 이스트시큐리티가 '국세청 전자세금계산서 발급 메일 안내'로 위장한 악성 이메일이 국내 공공기관과 기업 종사자를 대상으로 유포되고 있어 각별한 주의를 발표했다. 해당 공격은 특정 대상에게 발송하는 스피어 피싱 공격을 사용하고 있다. 기존 국세청 홈텍스를 사칭하는 공격에서 발신지 주소까지 실제 홈텍스 도메인 처럼 조작하였다고 한다. 이메일에 첨부된 파일은 '.pdf.zip' 으로 이중확장자를 사용하고 있으며 사용자 PC의 탐색기 폴더 옵션이 확장자 숨김 처리가 되어있을 경우 실제 pdf 파일 처럼 보여 의심없이 열어보도록 유도하고 있다. 사용자가 해당 압축파일을 풀고 내부 파일을 실행할 경우 폼북(Formbook) 유형의 악성코드에 감염돼 다른 해킹 피해로 이어질수 있어 각별한 주의가 필요하다.

참고 : Formbook 멀웨어 - 악성 매크로가 포함된 pdf, doc/xls 파일이나 실행가능한 페이로드가 포함된 압축파일과 같은 다양한 형태의 이메일 첨부 파일로 확산됨

Cisco hacked by exploiting vulnerable SaltStack servers

수집 날짜

2020-05-29

원문 링크

https://www.bleepingcomputer.com/news/security/cisco-hacked-by-exploiting-vulnerable-saltstack-servers/

내용 요약

28일 시스코에서 SaltStack 취약점을 악용한 서버 공격을 당했다고 밝혔다. 해킹당한 서버는 VIRL-PE (Virtual Internet Routing Lab Personal Edition) 백엔드 서버 중 일부로 솔트 마스터 서버를 유지 관리하는 서버 이다. 시스코에서 릴리즈 버전 1.2와 1.3을 사용하는 백엔드 서버 6대가 해킹당했다는 사실을 확인했고 2020.05.07에 패치를 적용하였다. 공격자는   CVE-2020-11651와 CVE-2020-11652를 악용하여 인증되지 않은 공격자에게 완전한 읽기 및 쓰기 액세스 권한을 제공하고, 솔트마스터 서버에 대한 인증에 필요한 비밀키를 루트로서 도용할 수 있는 공격을 한다. 5월 1일 분석 검샌 엔진 Crintys에 따르면 인터넷에 노출된 SaltStack 서버 취약점 공격 가능성이 있는 서버는 5,000개가 넘는 것을 나타났다.

[참고]

CVE-2020-11651 : 인증 무시 취약성

CVE-2020-11652 : 디렉토리 트래버셜

또 공정위 사칭…'비다르' 악성코드 유포 주의

수집 날짜

2020-05-15

원문 링크

http://www.inews24.com/view/1264620

내용 요약

안랩에서 최근 공정거래위원회를 사칭한 메일로 감염PC 정보를 유출한 '비다르'악성코드 유포 사례를 발견했다며 13일 주의를 당부했다. '전산 및 비전산자료 보존 요청서.zip' 압축파일로 해당 파일 압축해제시 pdf, hwp 파일이 존재한다. 두 문서는 정상문서를 가장한 .exe 파일로 하나라도 실행하면 비다르 악성코드에 감염된다. 비다르 악성코드란 암호화폐 지갑 정보, 메신저 계정정보, 인터넷 브라우저 정보등을 유출하는 악성코드이다.

아누비스 멀웨어, 사용자가 화면 들여다보면 ‘동작 그만!’

수집 날짜

2020-05-15

원문 링크

https://www.boannews.com/media/view.asp?idx=88157&kind=14

내용 요약

구글의 안드로이드 기반 스마트폰들을 지속적으로 공격하는데 사용되는 멀웨어 아누비스가 업그레이드되어 발견되었다. 최근 버전에는 피해자가 현재 자신의 스마트폰 화면을 들여다보고 있는지 확인하는 기능까지 더했다고 한다. 또한 감염된 장비의 위치를 파악하는 기능도 추가한 것으로 보인다. 아누비스는 2017년 후반부터 활동해온 멀웨어로 주로 사이버 정찰활동을 위해 사용되었으나 시간이 지나면서 뱅킹 트로이목마로 변했다. 이들의 목표는 크리덴셜 탈취, 키로거 설치, 일부 랜섬웨어 공격이며 최근에는 금융 및 뱅킹 관련 앱들이 표적이 되고 있다.

썬더볼트 설치된 수백만대 PC 위협할 수 있는 취약점 발견돼

수집 날짜

2020-05-15

원문 링크

https://www.dailysecu.com/news/articleView.html?idxno=108674

내용 요약

2011년 이후 출시된 썬더볼트(Thunderbolt)가 설치된 모든 컴퓨터에 대해 공격자가 암호화된 드라이브 및 메모리에서 데이터를 빠르게 훔쳐낼 수 있는 9가지의 공격 시나리오가 공개됐다. 사용자가 무인 컴퓨터 잠금, 보안 부팅 설정, 강력한 BIOS 사용 및 운영 체제 계정 암호, 전체 디스크 암호화 같은 보안 대처를 했더라도 작동할수 있다고 경고 했다. 마이크로소프트는 썬터볼트3에 대해 직접 메모리 접근(DMA) 공격 취약성에 대한 우려로 서피스 기기에 이를 포함시키지 않았었다. 일부 윈도우10 OEM은 썬더볼트를 채택했으며 2011년 이후 모든 애플 맥 컴퓨터에는 썬더볼트가 포함되어 있다. 인텔과 애플은 썬더 스파이에 대한 해결책을 제공하지 않기로 결정했다.

대형 보험사 마젤란 헬스, 랜섬웨어에 당하고 정보도 빼앗기고

수집 날짜

2020-05-15

원문 링크

https://www.boannews.com/media/view.asp?idx=88187

내용 요약

보험사 마젤란 헬스가 랜섬웨어 공격을 받은 후 데이터 유출까지 겪었다. 4/11 마젤란 헬스 측에서 발표한 내용에 의하면 공격은 오랜 기간 이어졌고 랜섬웨어는 가장 마지막에 발견되었다고 한다. 피해를 입은 것으로 추정되는 고객들에게 사과 및 고지 메일을 보내고 있으며 정확하게 유출된 데이터가 파악되지 않았다. 현재 조사중으로 잠시 동안 시스템 마비가 있었고 기밀과 개인정보에 해당하는 데이터가 유출됐다고 한다. 최근 랜섬웨어 공격자들은 피해자들에게 확실하게 돈을 받기위해 데이터를 암호화 하기전 유출하는 추세이다. 이는 메이즈랜섬웨어가 유행시킨것으로 많은 랜섬웨어 운영자들이 이 전략을 구사하는 중이다.

ProLock Ransomware가 네트워크 액세스를 위해 QakBot 트로이 목마와 협력

수집 날짜

2020-05-15

원문 링크

https://www.bleepingcomputer.com/news/security/prolock-ransomware-teams-up-with-qakbot-trojan-for-network-access/

내용 요약

최근 ProLock이라는 랜섬웨어 기업과 지방 정부를 대상으로 엄청난 몸값을 요구하며 주목을 받고 있다. 가장 최근 피해자로 알려진 것은 ATM 제공업체 'Diebold Nixdorf'이며 해당 공격으로 회사 네트워크가 일부 중단 되기도 했다.

ProLock은 네트워크 크기에 따라 175,000 달러에서 660,000 달러 이상의 몸값을 요구하고 있다. ProLock 랜섬웨어는 Sodinokibi 및 Maze와 같은 유명 랜섬웨어 그룹과 유사한 기술을 쓰며 MegaCortex 랜섬웨어와도 협력하는 QakBot (QBot) 트로이 목마를 통한 배포와 원격 데스크톱 (RDP) 서버 액세스라는 두 가지 주요 경로를 사용한다.

샌프란시스코 국제공항의 웹사이트 두 개서 악성 코드 발견돼

수집 날짜

2020-04-16

원문 링크

https://www.boannews.com/media/view.asp?idx=87588&kind=4&sub_kind=

내용 요약

지난 3월 샌프란시스코 국제공항 측에서 웹사이트 (SFOConnect.command와 SFOConstruction.com) 2곳이 해킹된 후 악성코드 삽입되어 있었다고 밝혔다. 해당 악성코드들은 윈도우 크리덴셜 탈취가 목적이었다며 사이트를 임시 폐쇄 후 악성코드 삭제를 완료 했다. 해당 사이트를 방문했다면 윈도우 비밀번호를 재설정하는 것이 안전하다.

VM웨어, 콘텐츠 완전 노출시킬 수 있는 치명적 취약점 패치

수집 날짜

2020-04-16

원문 링크

https://www.boannews.com/media/view.asp?idx=87560&kind=4&sub_kind=

내용 요약

VM웨어 디렉토리 서비스(Directory Service, vmdir)에서 익스플로잇 할 경우 가상 인프라에 저장된 모든 컨텐츠가 노출되는 취약점이 발견됐다. vmdir은 수백개의 워크로드를 관리할 수 있는 단일 관리자 프로그램으로 SSO의 핵심 구성요소라고 볼수 있으며 인증서 관리까지 담당하고 있다. 현재 6.7버전을 처음 설치한 경우에서는 해당 취약점이 없으나 기존 6.0이나 6.5에서 업그레이드한 경우 해당 취약점이 발견되고 있다.

게임 장비 전문 제조사 스커프 게이밍, 110만 고객 정보 털리다

수집 날짜

2020-04-16

원문 링크

https://www.boannews.com/media/view.asp?idx=87601

내용 요약

비디오 게임 장비 제조사인 스커프 게이밍에서 110만 명의 개인정보가 유출되는 사고가 발생했다. 사용자 정보가 저장된 DB 노출로 인한 사고 였으며 4월 3일에 수정하였으나 수정 전 48시간동안 공개되고 있었다. 해당 DB를 해커가 복사하여 데이터를 돌려 받기를 원하면 비트코인을 달라는 협박 편지를 남겼다. 스커프 게이밍 측에서는 해당 DB에 민감데이터가 없었고 악용했다는 증거를 찾을 수 없었다며 발표했으나 실제 신용카드 카드번호, 배송지 주소등 민감정보가 있었던 것으로 밝혀졌다.

Exploit for Zoom Windows zero-day being sold for $500,000

수집 날짜

2020-04-16

원문 링크

https://www.bleepingcomputer.com/news/security/exploit-for-zoom-windows-zero-day-being-sold-for-500-000/

내용 요약

현재 Zoom Windows 클라이언트에 영향을 미치는 제로데이 취약점이 50만 달러에 판매되고 있다. 해당 취약점을 악용할 경우 원격코드 실행이 가능하며 macOS 클라이언트에서 버그를 악용하도록 설계 된 것도 함께 판매되고 있다. 해당 취약점은 아직 패치되지 않았다.

Malicious Google Web Extensions Harvest Cryptowallet Secrets

수집 날짜

2020-04-16

원문 링크

https://threatpost.com/malicious-google-web-extensions-cryptowallet/154832/

내용 요약

MyCrypto의 연구원들은 최근 구글의 웹 스토어 내에서 제공하는 몇 개의 가짜 확장물은 발겼했다. 해당 확장물들은 암호화폐 지갑을 인수하고 계좌에서 인출할 수 있는 정보를 수집한다고 한다. 가짜 앱들은 피해자들은 유인하기 위해 Exodus, Jaxx, KeepKey, Ledger, MetaMask등 합법적인 브랜드를 사칭하고 구글 ADs를 통해 홍보되고 있었다. 또한 정상적인 암호화폐 지갑을 가장하고 있으며 별점 5짜리 가짜 리뷰작성하여 현혹하고 있었다. 올해 초, 파이어폭스와 구글은 수백 개의 의심스러운 확장을 스토어에서 삭제시켰다.

[주의] 이력서로 위장한 makop 랜섬웨어 (04.13)

수집 날짜

2020-04-14

원문 링크

https://asec.ahnlab.com/1314

내용 요약

4월 13일 이력서로 위장해 유포중인 makop 랜섬웨어가 발견되었다. 해당 랜섬웨어는 이력서로 위장하여 유포중이며 메일내 첨부파일에는 한글문서를 가장한 .exe 실행파일이 존재한다. 어눌한 한국말로 보아 한국인은 아닌것으로 보인다. 감염시 원본파일명.[랜덤8자].[akzhq412@protonmail.ch].makop 로 파일명이 변경된다.

“코로나19 관련 도메인 10만개 증가…악성코드 감염ㆍ사이버공격 주의”

수집 날짜

2020-04-14

원문 링크

https://www.dailysecu.com/news/articleView.html?idxno=107793

내용 요약

코로나 바이러스를 악용하는 사이버 위협 사례가 증가하고 있다.

1. 코로나 관련 피싱/멀웨어 배포

코로나 관련 키워드로 이메일 등 링크로 유인하여 RAT Tool(NetWire, NanoCore, LokiBot) 및 기타 멀웨어 공격

2. 페이크 애플리케이션

코로나 정보 제공 앱을 가장한 악성 애플리케이션 배포중

3. 코로나 관련 도메인 네임

코로나를 포함한 도메인이 10만건이 넘는것으로 확인되었다.

내가 접속한 ‘성인사이트’ 모두 안다고? 다크웹 개인정보 악용한 협박 메일

수집 날짜

2020-04-14

원문 링크

https://www.boannews.com/media/view.asp?idx=87585

내용 요약

다크웹에 유출된 개인정보를 악용하여 협박메일이 유포중인것이 발견되었다. 협박메일은 자신의 컴퓨터에 키로거, 원격제어 도구 등을 모두 설치해서 '성인사이트' 접속한 것을 모두 녹화해 두었으니 유포를 막으려면 비트코인을 달라는 내용이었다. 메일제목에 피해자가 기존에 사용하면 패스워드를 기입하여 그럴듯하게 가장하였다. 해당 사례처럼 해킹사고로 유출된 개인정보가 다크웹 등에 판매 또는 공개되면서 유출된 정보를 악용한 2차 피해가 우려되는 상황이다.

애플도 안심할 수 없다! 애플 사용자 노린 피싱 등장

수집 날짜

2020-04-14

원문 링크

https://www.boannews.com/media/view.asp?idx=87554

내용 요약

최근 애플 사용자 계정정보를 노린 피싱메일 공격들이 발견되었다. 해당 메일 제목은 '알 수 없는 기기를 사용하여 로그인'이란 제목으로 클릭을 유도하고 있다. 수신자가 링크를 클릭할 경우 허의 로그인 정보를 포함한 PDF 파일이 다운로드 되고 PDF에 삽입된 링크를 클릭할 경우 계정과 패스워드를 가로채기 위한 피싱사이트로 이동된다. 피싱사이트에서 계정정보를 입력하면 해당 정보를 수집하고 추가적으로 더 자세한 정보를 수집하기위한 2차 페이지로 이동된다.

Overlay Malware Leverages Chrome Browser, Targets Banks and Heads to Spain

수집 날짜

2020-04-14

원문 링크

https://threatpost.com/overlay-malware-exploits-chrome-browser-targets-banks-and-heads-to-spain/154713/

내용 요약

Grandoreiro라는 뱅킹 멀웨어는 가짜 크롬브라우저 플러그인("Google Plugin" 버전 1.5.0로 가장)을 사용하여 고객 크리덴셜을 훔치는 원격 오버레이 악성코드 공격을 한다. 그란도레로(Grandoreiro)는 원격 오버레이 뱅킹 트로이 목마의 일종으로, 공격자가 장치를 추월하고 피해자가 온라인 뱅킹 계정에 접속할 때 전체 화면 오버레이 이미지를 표시할수 있도록 고안되었다. 즉 온라인 계정 접속할때 가짜 이미지 사이트를 보여주고 고객 크리덴셜을 수집하여 뒤에서는 계좌에 돈을 빼내는 방법이다. 해당 공격은 브라징의 은행을 타깃으로 하고 있는 것으로 알려졌는데 최근 스페인 은행이 공격되면서 사업을 확대하고 있다는 것이 발견되었다. 해당 악성 프로그램은 코로나를 주제로한 비디오(스팸 SMS)를 악용하여 URL 클릭을 유도하여 유포되고 있다.

URL 클릭 -> 파일 다운로드 유도 -> MSI 파일다운 -> C2 서버와 연결

C2 서버를 통해 기기 정보 수집, 원격 액세스 기능을 수행할 수 있다.

주의! 21대 국회의원 선거관련 악성 워드문서 유포 중

수집 날짜

2020-04-10

원문 링크

https://ahnlabasec.tistory.com/1312

내용 요약

21대 국회의원 선거가 닷새 앞으로 다가온 가운데 이를 악용한 악성코드가 유포돼 이용자 주의가 요구된다. 안랩 시큐리티대응센터(ASEC)는 9일 21대 국회의원 선거 관련 문서를 사칭한 악성코드가 유포되고 있다면서 이용자 주의를 당부했다 .공격자는 '21대 국회의원 선거 관련(20200401)'이라는 제목으로 문서 파일을 제작했다. 파일 본문에는 국회 의석수 현황이라고 적은 후 교섭단체·정당별 의석수 현황을 지역구와 비례대표로 구분해 표기했다. 워드 문서처럼 보이는 이 파일을 열면 다운로드를 시도하는 화면이 나타난다. 특정 인터넷 주소(URL)에서 악성 파일을 다운로드하도록 설계됐다. 워드 문서 내 개체 파일 타깃 항목에 의해 다운로드 기능이 동작한다. 다운로드가 끝나면 특정 주소로 이용자 정보를 유출한다.

파워포인트를 통한 ‘호버 위드 파워’ 공격, 클릭 없이도 멀웨어 설치

수집 날짜

2020-04-10

원문 링크

https://www.boannews.com/media/view.asp?idx=87509

내용 요약

파워포인트 파일을 통해 멀웨어를 다운로드 받게 하는 공격 기법이 발견됐다. 이 공격의 특징은 피해자가 악성 링크를 클릭하지 않고, ‘마우스오버’만 실행해도(즉, 마우스 커서를 링크 위에 가져다 놓기만 해도) 멀웨어가 설치되기 시작한다는 것이다. 그러나 마이크로소프트는 이를 대단히 큰 위험으로 받아들이지 않고 있다. 마우스오버 만으로 멀웨어가 다운로드 되긴 하지만, 팝업 창이 하나 뜨고 피해자가 ‘확인’을 눌러야 하기 때문이다. 이 공격 기법에 ‘호버 위드 파워(Hover with Power)’라는 이름을 붙이고 MS 측에 알렸다. 하지만 마이크로소프트의 보안 대응 센터(MSRC)는 “소셜 엔지니어링 요소가 포함된 공격이기 때문에 해당 문제점을 취약점이라고 보기 힘들다”는 답장을 보내왔다. “안전한 컴퓨터 사용 습관이 있다면 얼마든지 막을 수 있다”는 것이다. 상세한 익스플로잇 방법은 깃허브(https://github.com/ethanhunnt/Hover_with_Power/blob/master/README.md)를 통해 공개되어 있다. 페이지를 맨 아래까지 내리면 익스플로잇이 이뤄지는 과정을 애니메이션으로도 볼 수 있다.

[긴급] ‘긴급재난자금’ 상품권 사칭한 스미싱 유포

수집 날짜

2020-04-10

원문 링크

https://www.boannews.com/media/view.asp?idx=87514

내용 요약

최근 정부와 각 지자체의 ‘코로나19 관련 긴급 재난 지원금’이 이슈가 되고 있는 가운데, 4월 9일 ‘긴급재난자금’을 사칭한 스미싱이 유포되고 있어 주의가 요구된다고 이스트시큐리티 ESRC(센터장 문종현)가 밝혔다. 최근 코로나19 바이러스 감염으로 인한 직·간접적 피해를 입은 국민들의 삶을 지원하고 경기를 활성화시키기 위한 정부 긴급재난지원금 지급이 논의되고 있으며, 일부 지자체는 이미 인터넷으로 신청을 접수중인 상태다. 특히 재난기본소득에 대한 지급을 최초로 결정했던 경기도의 경우 4월 9일 15시부터 재난기본소득 온라인 신청을 오픈할 예정인데, 공격자들은 ‘긴급재난자금’에 사용자들의 관심이 쏠리고 있는 이러한 상황을 악용해 스미싱 공격을 수행했다. 만약, 메시지에 포함된 단축 URL을 클릭하게 되면 악성앱이 다운로드되며, 감염시 사용자 스마트폰에서 sms정보를 탈취한다

원격수업 보안사고 막으려면…

수집 날짜

2020-04-10

원문 링크

http://www.inews24.com/view/1256937

내용 요약

안랩은 신종 코로나바이러스 감염증(코로나19)로 인한 온라인 개학을 맞아 원격수업 시 보안사고 피해를 막기 위한 '슬기로운 원격생활 보안수칙'을 10일 발표했다. 이 수칙에 따르면 온라인 수업에 참가하는 학생들은 수업 참가 인터넷주소(URL)나 비밀번호, 수업화면 캡처 등 수업 정보를 SNS 등 외부에 공유하지 말아야 한다. 또한 노트북, PC, 스마트폰 등 수업용 기기에서 불법 무료 동영상 사이트 같은 유해 사이트에 접속해선 안 된다. 주요 프로그램을 사칭한 피싱 사이트가 있을 수 있는 만큼 수업용 프로그램은 반드시 공식 사이트에서만 다운로드해야 한다.

Unique P2P Architecture Gives DDG Botnet ‘Unstoppable’ Status

수집 날짜

2020-04-10

원문 링크

https://threatpost.com/p2p-ddg-botnet-unstoppable/154650/

내용 요약

DDG는 세계 최초의 P2P 기반 암호화 봇넷일 것이다. DDG로 알려진 동전을 채우는 봇넷은 연초부터 지난 3개월 동안 16개의 다른 업데이트를 발표하며 활발한 활동을 보였다. 연구원들에 따르면, 가장 두드러진 것은, 그것의 운영자들이 DDG를 매우 정교하고 "엄청나게 막을 수 없는" 위협으로 만든 독점적인 P2P 메커니즘을 채택했다는 것이다. Netlab 360에서 2018년 1월 처음 발견했으며 2019년 1월 총 5,695개의 봇이 발견되었을때 백업 C2 통신에 사용되는 Memberlist 기반 P2P 메커니즘을 추가한 것을 발견하였다. 현재 DDG 봇넷은 최신 버전에서 여전히 정적 C2 통신을 위해 IP나 DNS를 사용하지만 새로운 P2P 네트워크는 "C2를 분해해도 감염된 기기는 계속 가서 채굴 작업을 수행할 것"으로 작용한다 흥미롭게도 DDG는 기업 인트라넷 상의 서버만을 대상으로 하는 틈새 공격 벡터를 가지고 있으며, 특히 단일 사용자 이름 루트에 대한 SSH 암호가 약한 서버를 대상으로 한다. 넷랩 360 연구진은 이 회사가 목표물에 대해 시도하는 1만7907개의 하드코딩된 패스워드를 가지고 있다고 말했다.