마이너 확산, 데이터 탈취를 위해 트로이목마와 툴을 조합하는 새로운 공격 키트 발견

New Attack Kit Combines Trojans and Tools to Spread Miners, Steal Data

중국, 대만, 이탈리아와 홍콩의 취약한 기기들을 스캐닝하던 중, 데이터와 모네로를 수집하기 위해 트로이목마 2개와 코인 마이너를 결합하고 인터넷과 LAN을 통해 스스로를 확산시키는 새로운 악성코드 기반 공격 키트가 발견 되었습니다.

Trend Micro의 연구원들은 445 포트를 오픈해 두었으며, SMB 익스플로잇에 취약한 컴퓨터의 윈도우 폴더 내 랜덤 파일로 보이게끔 드랍 된 공격 키트를 발견했습니다. 이는 2017년 이미 패치 된 윈도우 서버 취약점인 MS17-010를 노렸습니다.

다단계 감염 프로세스는 피해자의 취약점을 악용 후 초기 발판을 마련하기 위해 인포스틸러 악성코드를 사용합니다. 이 악성 코드는 공격자에게 감염 된 호스트와 관련 된 정보를 보내고 다음 악성 페이로드를 받아오기 위해 C&C 서버에 연결합니다.

<이미지 출처: https://blog.trendmicro.com/trendlabs-security-intelligence/monero-miner-malware-uses-radmin-mimikatz-to-infect-propagate-via-vulnerability/>

감염 2단계에서는, 손상 된 시스템에서 파이썬으로 컴파일 된 MIMIKATZ 트로이목마의 변종이 드랍 및 실행 될 것입니다. 또한 트로이목마는 MS17-010 SMB 서버 취약점을 악용하여 감염시킬 수 있는 윈도우 머신을 자동으로 스캔하고, 데이터를 수집하고 추출하도록 설계 된 추가 모듈을 로드합니다.

MIMIKATZ 컴포넌트 또한 트로이목마가 사전에 드랍한 추가 해킹툴을(HackTool.Win32.Radmin.GB, Trend Micro) 이용해 공격자들이 원격으로 보낸 명령을 실행하는데 사용할 파이썬 psexec 모듈을 다운로드할 것입니다.

다음 단계는, 이전 단계에서 피해자 시스템에 드랍 된 Radmin 해킹툴을 통해 악성 공격자가 보낸 명령에 따라 암호화 된 모네로 코인 마이너 페이로드를 다운로드 및 실행합니다.

연구원들은 이에 대해 아래와 같이 밝혔습니다.

우리는 이 악성코드의 배후에 있는 사이버 범죄자들이 권한 상승, 원격 액세스 및 훔친 크리덴셜을 이용해 향후 공격을 위해 가능한 많은 시스템을 감염시키는 것을 목적으로 이 모듈형 구조를 개발한 것으로 추측합니다. 이 인포스틸러는 사용자 계정, 포트 포워딩, 시스템 특성 등과 같은 정보를 보내는 것이 가능하기 때문에, 탐지 되지 않을 경우 향후 더 많은 공격을 실행할 수 있도록 공격자들이 원격으로 시스템에 접근할 수 있도록 합니다.

이 공격 키트는 파이썬으로 컴파일 된 악성 코드, 오픈 소스 모듈들, 오래 된 익스플로잇, 프리웨어 해킹 툴 등 무료 툴 다수를 사용하여 빌드 되었습니다. 이로 미루어 볼 때 공격자들은 해킹을 시작한지 얼마 되지 않는 것으로 추측할 수 있습니다.

이 공격을 구성하고 있는 툴들은 꽤 오래 되었으며 오픈소스 MIMIKATZ와 Radmin 툴은 잘 알려져 있기 때문에 대부분의 안티 바이러스 솔루션에서 쉽게 탐지할 수 있습니다.

하지만, 전파에 사용 된 기술과 해킹 된 윈도우 타겟에 추가 된 랜덤으로 명명 된 파일로 볼때 이 악성코드는 어느정도 정교하게 만들어졌습니다. 또한 코인 마이너가 동작을 시작해 피해자의 시스템을 느리게 하기 전 까지는 발견 되지 않도록 합니다.

연구원들은 공격자들이 “타겟 국가의 회사들이 공휴일 및 축제 기간에 악성코드의 활동을 탐지하지 못한다는 것을 악용한다”고 말했습니다.

참고 :

https://www.bleepingcomputer.com/news/security/new-attack-kit-combines-trojans-and-tools-to-spread-miners-steal-data/

https://blog.trendmicro.com/trendlabs-security-intelligence/monero-miner-malware-uses-radmin-mimikatz-to-infect-propagate-via-vulnerability/