해킹 그룹, 갠드크랩 랜섬웨어 배포하기 위해 MySQL 서버 스캐닝

Hackers are scanning for MySQL servers to deploy GandCrab ransomware

중국 해킹 그룹이 사용자 기기를 갠드크랩(GandCrab) 랜섬웨어에 감염시키기 위해 인터넷에서 MySQL 데이터베이스를 실행 중인 윈도우 서버를 스캐닝 중인 것으로 나타났습니다.

Sophos의 수석 연구원인 Andrew Brandt는 허니팟 로그에서 이러한 새로운 공격을 발했습니다.

해커들, 얻을 것이 많은 노출된 MySQL DB 노려

해커들은 인터넷에서 접근 가능한 SQL 명령을 허용하는 MySQL 데이터베이스를 스캔한 후, 서버가 윈도우 환경에서 실행되는지 확인합니다.

그런 다음, 악성 SQL 명령을 사용하여 노출된 서버에 갠드크랩 랜섬웨어를 실행시키는 악성 파일을 심습니다.

대부분의 시스템 관리자들은 보통 MySQL 서버에 암호를 걸어 보호합니다.

하지만 잘못 구성되었거나 패스워드가 걸려있지 않은 데이터베이스도 존재하기 때문에 이러한 기기를 찾기 위해 해커들이 스캐닝을 하는 것으로 추정됩니다.

연구원들은 공격자의 악성 페이로드의 다운로드 통계를 확인하고, HFS라는 서버 소프트웨어를 실행해 오픈 디렉터리가 있는 공격자의 원격 서버를 추적했습니다.

<이미지 출처: https://news.sophos.com/en-us/2019/05/24/gandcrab-spreading-via-directed-attacks-against-mysql-servers/>

발견한 서버는 악성 샘플 '3306-1.exe'이 500회 이상 다운로드된 것으로 표시하고 있었습니다. 

'3306-2.exe', '3306-3.exe', '3306-4.exe' 샘플 또한 '3306-1.exe' 샘플과 동일한 악성 파일입니다.

분석 결과, 이 파일들은 서버에 배치된 후 5일 만에 약 800회 다운로드 되었으며 해당 오픈 디렉터리 내 또 다른 갠드크랩 샘플은 2,300회 이상 다운로드 되었습니다.

이 공격은 규모가 크지도, 광범위하지도 않지만 외부에서 데이터베이스 서버에 접근 가능하도록 3306 포트(MySQL 포트)를 방화벽에 오픈한 MySQL 서버 관리자들에게 심각한 위협이 될 수 있습니다.

Brandt 연구원은 이번에 발견된 공격 방식은 매우 드문 케이스이지만, 해커는 보통 데이터, 지적 재산을 훔치거나 크립토마이닝 악성코드를 설치하기 위해 데이터베이스 서버를 스캐닝한다고 언급했습니다.

알약에서는 해당 랜섬웨어에 대해 'Trojan.Ransom.GandCrab, Backdoor.Agent.Cinasquel'으로 탐지중에 있습니다.

출처:

https://www.zdnet.com/article/hackers-are-scanning-for-mysql-servers-to-deploy-gandcrab-ransomware/

https://news.sophos.com/en-us/2019/05/24/gandcrab-spreading-via-directed-attacks-against-mysql-servers/