Malware Spreads As a Worm, Uses Cryptojacking Module to Mine for Monero
웜의 기능을 갖춘 모듈형 악성코드가 한 서버에서 다른 서버로 확산되고 모네로 가상화폐를 채굴하기 위해 ElasticSearch, Hadoop, Redis, Spring, Weblogic, ThinkPHP, SqlServer를 실행하는 서버의 알려진 취약점을 악용하는 것으로 나타났습니다.
PsMiner라는 이름의 이 악성 코드의 웜 모듈인 systemctl.exe는 Go 언어로 작성된 윈도우 바이너리로 인터넷에서 찾을 수 있는 취약한 서버를 해킹하여 침투하는데 사용될 수 있는 익스플로잇 모듈을 포함하고 있습니다.
이 외에도 PsMiner 웜 모듈은 타깃이 취약하거나 디폴트 인증 정보를 사용할 경우, 브루트포싱(brute force) 공격을 실행하는 기능을 갖추고 있으며, 브루트 포싱 패스워드 크랙킹 컴포넌트를 통해 사용자의 인증 정보를 알아내려 시도합니다.
피해자 컴퓨터에 침투를 성공하면, PsMiner는 WindowsUpdate.ps1 악성 페이로드를 실행하는 PowerShell 명령어를 실행할 것입니다. 이는 마지막 감염 단계의 일부인 모네로 채굴기를 드랍하도록 설계된 악성코드의 마스터 모듈입니다.
<이미지 출처: https://www.bleepingcomputer.com/news/security/malware-spreads-as-a-worm-uses-cryptojacking-module-to-mine-for-monero/>
이 악성코드는 악성 WindowsUpdate.ps1 스크립트를 윈도우 임시 폴더로 복사하고, 메인 악성코드 모듈을 매 10분마다 재시작하도록 설계된 “윈도우 업데이트 서비스” 예약 작업을 생성합니다.
이를 통해 손상된 시스템을 계속해서 장악할 수 있도록 합니다.
PsMiner 감염의 마지막 단계에서는 커스텀 마이닝 프로필을 통해 모네로 가상화폐를 채굴하는데 사용되는 오픈소스 Xmrig CPU 마이너를 다운로드 및 실행합니다.
이 악성코드는 자기 자신을 확산시키기 위해 LotL (living-off-the-land)기술을 사용하여 타깃을 추가로 손상시키고 시스템을 지속적으로 장악하는 데 꽤 효과적이지만, 큰 수익을 벌어들이지는 못하는 것으로 나타났습니다.
연구원들은 관련 거래 기록을 확인한 결과, 이 암호화폐 채굴기가 2주 만에 총 0.88 모네로 코인(sic)을 획득하였다고 밝혔습니다.
<이미지 출처: https://www.bleepingcomputer.com/news/security/malware-spreads-as-a-worm-uses-cryptojacking-module-to-mine-for-monero/>
여전히 위협적인 크립토재킹
시만텍의 2019년 인터넷 보안 위협 보고서에 따르면, 2019년 동안 악성 PowerShell 스크립트 사용이 1,000% 증가하였으며, 사이버 범죄자들은 타깃 시스템 침투 시 탐지를 피하기 위하여 LotL 기술을 사용하는 것이 트렌드인 것으로 나타났습니다.
2018년 동안 크립토재킹 악성 프로그램은 하향세이긴 했지만, PSMiner에서 볼 수 있듯이 공격자들은 여전히 이를 활용하고 있습니다.
마이크로소프트 스토어앱 8개가 악성 모네로 크립토마이닝 스크립트를 드랍하는 것으로 나타났으며, 범죄에 노출된 취약한 Docker 호스트 서버 수백개가 크립토재킹 캠페인에 활발히 악용되고 있습니다.
작년, 가상화폐 채굴 악성코드는 랜섬웨어보다 10배 많은 조직에 영향을 끼쳤으며, 더 많은 악성코드들이 가상화폐 채굴기능을 추가하고 있습니다.
현재 알약에서는 해당 악성코드에 대해 Misc.Riskware.CoinMiner.Etc으로 탐지중에 있습니다.
참조:
1.5억 회 이상 설치된 안드로이드 앱에서 SimBad 애드웨어 발견돼 (0) | 2019.03.15 |
---|---|
중국의 거대 IT 기업, 사용자 연락처 수집 및 추적해 (0) | 2019.03.14 |
STOP 랜섬웨어, 피해자 기기에 패스워드 탈취 트로이목마 설치 (0) | 2019.03.12 |
StackStorm DevOps 자동화 소프트웨어에서 심각한 결함 발견돼 (0) | 2019.03.12 |
조지아 주 잭슨 카운티, 랜섬웨어 공격 당해 40만 달러 지불해 (0) | 2019.03.11 |
댓글 영역