상세 컨텐츠

본문 제목

중국 해커들, 새로운 크립토재킹 전략 통해 탐지 회피해

국내외 보안동향

by 알약(Alyac) 2019. 10. 16. 14:06

본문

Chinese Hackers Use New Cryptojacking Tactics to Evade Detection


대규모 악성 크립토마이닝 캠페인을 다수를 운영한 것으로 알려진 중국어를 구사하는 사이버 범죄 그룹인 Rocke가 TTP(전술, 기술, 절차)를 변경했습니다. 


탐지를 피하기 위해 새로운 C2 인프라를 사용하고 악성코드를 업데이트했습니다.


Rocke는 지난 2018년 Cisco Talos가 처음 발견한 공격 그룹입니다. 


이들은 패치 되지 않은 Apache Struts, Oracle WebLogic, Adobe ColdFusion 서버를 노리며 공격자가 제어하는 Gitee와 GitLab 저장소를 통해 크립토마이닝 악성코드를 드롭했습니다.


지난 1월, Unit42 팀은 새로운 Rocke 악성코드 샘플을 분석하던 중 Tencent Cloud와 Alibaba Cloud가 개발한 클라우드 보안 및 모니터링 제품 다수를 리눅스 서버에서 언인스톨 하는 코드를 발견했습니다.


Rocke의 새로운 악성코드는 Tencent Host Security와 Alibaba Cloud Threat Detection Service에서 추가한 로컬 에이전트를 노립니다.



[그림 1] 클라우드 보안 및 모니터링 제품 언인스톨

<이미지 출처: https://www.bleepingcomputer.com/news/security/chinese-hackers-use-new-cryptojacking-tactics-to-evade-detection/>



Rocke의 새로운 C2 인프라


지난 3월, Rocke는 Pastebin을 C2로 이용하는 LSD라 명명된 새로운 Golang 기반 드로퍼를 사용했습니다.


이 새로운 악성코드 변종은 해킹된 기기에서 모네로(XMR) 크립토재킹 작업을 설정합니다.


그리고 백신 탐지율이 거의 제로에 가까우며, Python으로 개발한 악성 툴로부터 위협 그룹을 멀리 떨어지게끔 설계되었습니다.


1달 후, Rocke는 취약한 Confluence 서버에서 원격으로 악성코드를 실행하고 크립토마이너 페이로드를 드롭하기 위해 CVE-2019-3396를 악용하기 시작했습니다.


지난 7월 말, 해커는 C2 인프라를 변경해 크립토마이닝 구성 스크립트를 그들의 서버에서 직접 호스팅하고 작업 중단 위험을 감소시켰습니다.



[그림 2] 설정 스크립트를 호스팅 하는 Rocke 서버 DNS 쿼리

<이미지 출처: https://www.bleepingcomputer.com/news/security/chinese-hackers-use-new-cryptojacking-tactics-to-evade-detection/>



지난달, Rocke는 크립토마이닝 설정 스크립트를 저장하기 위해 DNS 텍스트 레코드를 이동시켜 TTP를 변경했습니다.


Anomali Labs는 이 기록은 일반 DNS 쿼리에 실패할 경우, 일반 DNS 쿼리 또는 DNS-over-HTTPs(DoH)로 접근이 가능하다고 밝혔습니다.



업데이트 및 개선된 악성코드 로더


Rocke 그룹은 C2만 변경한 것이 아닙니다. 


그들은 LSD 악성코드에 CVE-2016-3088에 취약한 ActiveMQ 서버를 악용하기 위한 새로운 기능도 추가했습니다.


Rocke의 LSD 악성코드는 해킹된 기기 내 실행되는 모든 CPU 집약적 프로세스를 찾아 종료시킵니다. 


이때 하드코딩된 값과 MD5를 비교해 크립토마이너를 중단시키지 않도록 만듭니다.

 


[그림 3] Rocke 마이너 탐지

<이미지 출처: https://www.bleepingcomputer.com/news/security/chinese-hackers-use-new-cryptojacking-tactics-to-evade-detection/>



9월 17일, 이 해커 그룹이 새로운 LSD 샘플을 사용하기 시작했습니다. 


이들은 DoH 요청을 통해 CBC(cipher-block-chaining) 모드 및 base64로 인코딩된 128비트 AES TXT 레코드로부터 마이닝 설정 스크립트를 가져왔습니다.


Rocke는 탐지를 피하기 위해 지속적으로 TTP를 진화시키며, 호스팅 스크립트를 Pastebin에서 자체 호스팅 및 DNS 레코드로 이동함으로써 진행 중인 악성 활동을 중단되지 않도록 만들었습니다.


이 그룹은 조만간 추가 가상화폐를 채굴하기 위해 더 많은 취약점을 악용할 것으로 보입니다.



클라우드에서 우위를 점하기 위한 전투


지난 5월, Rocke는 다른 크립토재킹 그룹인 Pacha Group의 크립토마이너를 공격했습니다.


Pacha Group은 Linux.GreedyAntd라는 가상 화폐 마이닝 악성코드를 배포하는 중국 해커 그룹이며, 2018년 9월 처음 발견되었습니다.


Rocke와 Pacha 해킹그룹 모두 대규모 악성 크립토마이닝 캠페인과 연결되어 있습니다. 


이들은 서로의 크립토마이닝 악성코드를 중단시키며 취약한 클라우드 기반 인프라를 제어하기 위해 지속적으로 경쟁했습니다.


Pacha Group은 크립토마이너를 중단시키기 위해 WordPress, PhpMyAdmin 등의 서비스에 브루트포싱 공격을 실시하고 유사한 서비스의 구버전에 존재하는 알려진 취약점을 악용했습니다.


2018년 4월 가상 화폐 채굴을 위해 Rocke 그룹이 사용한 악성코드는 기존에 실행 중인 크립토재킹 악성코드를 찾아내 중단시키는 “킬 리스트”를 포함하고 있었습니다.


Pacha Group 또한 Linux.GreedyAntd의 블랙 리스트에 하드코딩된 IP 주소가 있는 것으로 나타났습니다. 


이를 통해 트래픽을 감염된 시스템으로 되돌려 보내 마이닝 풀에 접근하지 못하도록 하여 Rocke의 크립토마이너를 차단할 수 있었습니다.


이 양쪽 그룹의 악성코드 변종은 아래와 같은 기능 등을 포함하고 있습니다.


- Alibaba Cloud와 Tencent Cloud의 클라우드 보안 및 모니터링 제품을 찾아 비활성화하는 기능

- Libprocesshider 경량 사용자 모드 루트킷 지원 내장

- 동일한 Atlassian 취약점 악용 기능


이 양쪽 그룹 모두 크립토재킹 캠페인을 위해 적극적으로 클라우드 인프라를 공격하던 중, 어느 한 쪽을 제거하고 취약한 클라우드 시스템을 차지하기 위해 경쟁한 것으로 추측됩니다.


현재 알약에서는 해당 악성코드에 대해 'Trojan.Linux.CoinMiner'으로 탐지 중에 있습니다.





출처:

https://www.bleepingcomputer.com/news/security/chinese-hackers-use-new-cryptojacking-tactics-to-evade-detection/

https://www.anomali.com/blog/illicit-cryptomining-threat-actor-rocke-changes-tactics-now-more-difficult-to-detect

관련글 더보기

댓글 영역