가상 화폐 채굴기, 유럽 공항 워크스테이션의 50% 이상 감염 시켜

Cryptocurrency miners infected more than 50% of the European airport workstations

Cyberbit의 보안 연구원들이 유럽의 공항 워크스테이션 50% 이상을 감염시킨 크립토마이닝 캠페인을 발견했습니다.

전문가들은 유럽 공항 내 시스템이 업계 표준 백신이 설치되어 있음에도 불구하고실행 중 이었음에도 모네로 마이너에 감염 되었다는 사실을 지적했습니다. 공격자들은 백신 프로그램의 탐지를 우회하기 위해 마이너를 패키징했습니다.

“우리가 발견한 악성코드는 1년도 전에 Zscaler가 발견했었습니다. 이 악성코드는 존재하는 대부분의 시그니쳐를 피하기 위해 수정 되었으며 VirusTotal에서 73개 제품 중 16개만 이를 악성으로 탐지하고 있습니다.”

다행인 점은 이 마이너가 공항의 업무에는 아무런 영향을 미치지 못했다는 것입니다.

이 전문가의 행동 엔진은 Player.exe라는 프로그램을 실행하기 위해 사용 된 PAExec 툴의 의심스러운 행동을 발견했습니다.

PAExec은 기기에 물리적으로 접근하지 않고도 윈도우 프로그램을 원격 시스템에서 실행할 수 있도록 해주는 정식 Microsoft PSExec 툴의 재배포 가능 버전입니다.

PAExec 툴 실행은 종종 공격이 진행 중이라는 것을 의미할 때가 있습니다. 이 경우, 해커는 Player 실행파일을 “시스템 모드”에서 실행하는데 이 툴을 사용했습니다.

연구원들은 Player.exe를 실행한 후 Reflective DLL Loading이 사용 된 것을 발견했습니다. 이 기술을 통해 공격자들은 원격으로 메모리 내 프로세스에 직접 DLL을 인젝션 할 수 있게 됩니다.

“이는 다른 어플리케이션들 및 공항의 시설의 성능에도 영향을 미칩니다. 관리자 기능을 사용하면 이 활동을 탐지하기 위한 보안 툴의 능력 또한 감소시킬 수 있습니다.”

지속성을 유지하기 위해, 공격자들은 시스템 레지스트리에 PAExec을 위한 엔트리를 추가했습니다.

연구원들은 공격자가 어떻게 유럽 공항의 시스템을 감염시켰는지 알아낼 수는 없었습니다.

“악성 코드가 크립토마이너인 것으로 드러났기 때문에, 이로 인한 비즈니스적 영향은 크지 않았으나 공항은 시스템 성능 저하로 인한 서비스 품질 저하 및 서비스 방해를 겪었으며 공항 전체의 전력 소모량이 급격히 증가했습니다.”

“최악의 시나리오는 공격자가 활주로 조명, 수화물 처리 기기, 항공 열차 등 중요한 운영 시스템을 해킹해 치명적인 물리적 데미지를 입히기 위해 공항의 OT 네트워크로 뛰어들기 위해 IT 네트워크를 해킹했을 수 있다는 것입니다.”

출처 : 

https://securityaffairs.co/wordpress/92616/cyber-crime/european-airport-workstations-miner.html

https://www.cyberbit.com/blog/endpoint-security/cryptocurrency-miners-exploit-airport-resources/