포스팅 내용

국내외 보안동향

EternalRomance 익스플로잇을 통해 배포 되는 PyRoMineIoT, 이란과 사우디 아라비아의 IoT 기기들 노려

PyRoMineIoT spreads via EternalRomance exploit and targets targets IoT devices in Iran and Saudi Arabia


연구원들이 확산을 위해 NSA와 관련 된 EternalRomance 익스플로잇을 악용하는 새로운 가상화폐 채굴 변종인 PyRoMineIoT를 발견했습니다.


PyRoMineIoT는 몇 주 전 발견 된 PyRoMine이라는 가상화폐 채굴기와 꽤 유사합니다. 이는 4월달에 감염이 급증 하였고, 대부분이 가포르, 인도, 대만, 코트 디부 아르, 호주에서 발견 되었습니다.


연구원들에 따르면, 구 버전의 채굴기는 난독화 기능을 추가해 더욱 개선되었습니다. 최신 PyRoMine은 동일한 IP주소인 212[.]83.190[.]122에서 호스팅 되었으며, 양쪽 모두 Exploit Database 웹사이트에 있는 EternalRomance 구현을 활용합니다.


PyRoMineIoT는 웹 브라우저의 보안 업데이트로 위장한 웹사이트를 통해 배포 됩니다.


PyRoMineIoT 악성코드가 기기를 손상 시키면, 이는 PyRoMine 변종이 사용하는 것과 동일한 기능을 가진 난독화 된 VBScript를 다운로드 할 것입니다. 하지만 이 코드는 잘 정리된 것으로 보여집니다.


VBScript는 또 다른 컴포넌트인 모네로 채굴기(XMRig)를 다운로드 합니다. 이는 이전 변종과는 확연히 다릅니다. 이는 파일 이름을 랜덤으로 사용합니다.


두 변종 모두 디폴트 계정 및 패스워드 ‘P@ssw0rdf0rme’를 설정하고, “Administrators,” “Remote Desktop Users,” “Users” 로컬 그룹에 계정을 추가하고 RDP를 활성화 후 트래픽에서 port 3389를 허용하는 방화벽 룰을 추가합니다.


일단 기기가 해킹 되면, PyRoMineIoT는 PyRoMine 변종이 설치 된 경우 이를 삭제하려고 시도합니다.


이 악성코드의 배후에 있는 공격자들이 사용하는 pool 주소들 중 하나를 분석해본 결과, 그들은 5 모네로(약 $850 상당)을 벌어들인 것으로 나타났습니다.



공격 체인


피해자는 C#으로 작성 된 다운로더를 포함한 .zip 악성파일을 다운로드 합니다. 이는 다운로더 및 기타 악성 컴포넌트를 배포하기 위해 EternalRomance를 악용하는 파이썬 기반의 악성코드입니다. 


또 다른 컴포넌트는 크롬 브라우저에서 사용자 크리덴셜을 훔치는 ChromePass라는 툴입니다. 그리고 또 다른 컴포넌트 하나는 “admin/admin” 계정/패스워드를 사용하는 이란과 사우디아라비아의 취약한 IoT 기기들을 찾습니다.


<이미지: https://www.fortinet.com/blog/threat-research/pyromineiot--nsa-exploit--monero-xmr--miner----iot-device-scanne.html>


EternalRomance 구현은 로컬 서브넷의 IP를 수집하고, 타겟 기기에 로그인 하기 위해 사용자 계정명 ‘aa’와 공백 암호를 사용합니다.


<출처: https://www.fortinet.com/blog/threat-research/pyromineiot--nsa-exploit--monero-xmr--miner----iot-device-scanne.html>


또 다른 컴포넌트인 ChromePass 소프트웨어는 합법적이며, 크롬의 크리덴셜들을 볼 수 있습니다.


일단 악성코드가 크리덴셜을 수집 하면, 이들을 XML 포맷으로 저장 후 DriveHQ의 클라우드 스토리지 서비스의 계정에 파일을 업로드 합니다.


PyRoMineIoT는 취약한 IoT 기기를 검색하지만, 이번에는 이란과 사우디아라비아의 기기들만을 노립니다.


연구원들은 “악성코드의 제작자들은 가상화폐 채굴과 IoT 생태계 위협에 큰 관심을 보이고 있는 것으로 추정됩니다. 이러한 추세는 공격자들이 취약한 장비들 및 기기들을 공격해 쉽게 돈을 벌 수 있는 기회가 있는 한 지속 될 것으로 보입니다.”고 결론 지었습니다.


현재 알약에서는 해당 악성코드들에 대해 Exploit.Python.Agent, Trojan.Dropper.Agent, Trojan.Downloader.Agent, Misc.HackTool.WebBrowserPassView 등으로 탐지중에 있습니다. 




출처 :

https://securityaffairs.co/wordpress/73472/malware/pyromineiot-iot-miner.html

https://www.fortinet.com/blog/threat-research/pyromineiot--nsa-exploit--monero-xmr--miner----iot-device-scanne.html




티스토리 방명록 작성
name password homepage