새로운 악성 프로그램 캠페인에 타겟이된 Windows Servers

APAC Windows Servers Targeted by a New InfoStealer and Cryptomining Campaign

CheckPoint의 보고에 의하면, 아시아 태평양 지역의 Windows 서버를 대상으로 한 공격수가 급증하고 있다고 합니다. 

연구원들은 감염된 장비에 대한 다른 기술적인 세부사항뿐만 아니라 Windows 사용자의 로그인 자격 증명을 업로드하는 데 효과적인 툴에 기초한 새로운 악성 프로그램 캠페인을 발견했습니다. 

CheckPoint가 분석한 배치 파일에는 공격자가 보안 툴에 의한 검출을 피할 수 있도록 도와주는 "Regsvr32" 프록시 실행 프로그램, 파워쉘 다운로드 크래들(cradle)이 있습니다. 사용자 데이터의 도용은 Mimikatz를 통해 이루어지고 FTP 서버에 업로드됩니다.

<이미지 출처: https://research.checkpoint.com/a-new-infostealer-campaign-targets-apac-windows-servers/>

모든 공격은 GET 요청 명령과 제어 서버 IP 주소로 시작하며, 공격은 감염된 장비가 Windows 서버인 경우에만 발생합니다. 

<이미지 출처: https://research.checkpoint.com/a-new-infostealer-campaign-targets-apac-windows-servers/>

그래서 악성코드는 운영체제 버전을 확인하고 관련 정보를 C&C 서버에 전송합니다. Windows 버전 10, 8, 7, Vista 또는 XP와 2000을 포함한 다른 버전의 Windows에서는 악성 프로그램이 실행되지 않습니다. 

손상된 시스템이 Windows 서버인 경우, "file-less 공격"을 촉발하는 배치 파일을 가져오고 C&C 서버와 동기화하여 사용할 수 있는 최신 버전의 업데이트를 획득하는 GET 요청이 2회 추가됩니다.

<이미지 출처: https://research.checkpoint.com/a-new-infostealer-campaign-targets-apac-windows-servers/>

해당 배치파일 및 실행파일을 바이러스 토탈에서 검색하였을 때, 결과값은 아래 그림과 같습니다. 

<이미지 출처: https://research.checkpoint.com/a-new-infostealer-campaign-targets-apac-windows-servers/>

바이러스 토탈에 등록된 안티파이러스 제품 대부분이 해당 악성코드의 bat 파일을 감지하지 못한 반면, exe 파일은 대부분 감지했다는 사실을 발견했습니다.

추가 분석 결과, 배치 파일의 일부분이 "Mirai"라는 봇넷의 컴포넌트이며, 다른 모듈에는 외부의 URL로 연결하는 파위쉘 명령어가 있습니다.

이 파워쉘 명령어는 관리자 권한을 탈취하고 "Mirai", "XMRig", 및 "Dark Cloud" 가상화폐 채굴기 악성코드를 다운로드하고 실행합니다.

그리고 사용자의 개인 정보 및 컴퓨터의 로컬 정보를 수집하여 FTP 서버로 보내고 MyKing 봇넷과 같은 공격을 하는 자바스크립트 파일을 실행합니다.

<이미지 출처: https://research.checkpoint.com/a-new-infostealer-campaign-targets-apac-windows-servers/>

또한, XMRig는 크기가 작고, 의존성이 필요 없으며, 하드웨어 지원이 광범위하고, 성능이 뛰어나기 때문에 수많은 서버 하이잭킹 캠페인을 위한 가상화폐 채굴 용도로 사용되고 있습니다. 

현재 거의 모든 안티바이러스 솔루션이 해당 악성 프로그램의 활동을 무시하고 있기 때문에 윈도우 서버 관리자는 세심한 주의가 필요합니다.

시스템에서 실행되는 프로세스를 검토하고, 계층화된 방화벽 보호장치를 설정하며, 웹 필터링 도구를 이용하고, 기업 네트워크에 효과적인 네트워크 모니터링 솔루션을 구축하여야 합니다.

출처:

https://www.technadu.com/apac-windows-servers-new-infostealer-cryptomining-campaign/60140/

https://research.checkpoint.com/a-new-infostealer-campaign-targets-apac-windows-servers/

https://attack.mitre.org/techniques/T1117/