상세 컨텐츠

본문 제목

엔터프라이즈 시스템 수천 곳, 새로운 Blue Mockingbird 그룹의 악성코드에 감염

국내외 보안동향

by 알약(Alyac) 2020. 5. 26. 09:59

본문

Thousands of enterprise systems infected by new Blue Mockingbird malware gang


엔터프라이즈 시스템 수천 곳이 Blue Mockingbird 해킹 그룹의 가상화폐 채굴 악성코드에 감염된 것으로 보입니다.


Red Canary의 악성코드 분석가가 이달 초 발견한 Blue Mockingbird 그룹은 2019년 12월부터 활동을 시작한 것으로 추측됩니다.


연구원들은 Blue Mockingbird가 ASP.NET 앱을 사용하며 UI 컴포넌트로 Teleric 프레임워크를 사용하는 인터넷에 공개된 서버를 공격한다고 밝혔습니다.


해커들은 CVE-2019-18935 취약점을 악용하여 해킹한 서버에서 웹 셸을 설치합니다. 


이후 Juicy Potato 기술을 통해 관리자 수준 권한을 획득하고, 지속성을 얻기 위해 서버 설정을 변경합니다.


시스템 전체 접근 권한을 얻으면 모네로(XMR) 가상화폐 마이닝 앱으로 유명한 XMRRig를 다운로드 및 설치합니다.



내부 네트워크를 중심으로 공격


Red Canary의 전문가들은 공개 인터넷 대면 IIS 서버가 회사의 내부 네트워크에 연결되어 있을 경우, 이 그룹은 취약한 RDP 또는 SMB 연결을 통해 내부로도 확산을 시도합니다.


Red Canary가 이달 초 ZDNet에 보낸 이메일에서는 연구원들이 봇넷 활동 전체를 확인할 수는 없었지만, 지금까지 최소 1,000건을 감염시켰을 것으로 예상했습니다.


하지만 피해를 받은 회사의 수는 훨씬 많을 수 있으며, 안전하다고 자신하는 회사들 또한 공격에 당했을 수 있다고 밝혔습니다.



위험한 TELERIK UI의 취약점


취약한 Telerik UI 컴포넌트가 최신 버전에서 실행되는 ASP.NET 애플리케이션에 포함될 수 있습니다. 


ASP.NET 애플리케이션의 버전이 최신일지라도 Telerik 컴포넌트가 구 버전이기 때문에, 회사는 여전히 공격에 노출됩니다.


많은 회사와 개발자들은 Telerik UI 컴포넌트가 그들의 애플리케이션에 포함되었는지조차 알지 못할 수 있으며, 따라서 회사가 공격에 노출되는 것입니다.


이 취약점에 대한 세부 정보가 공개된 후, 지난 1년 동안 수없이 악용되어 왔습니다.


예를 들어, 지난 4월 미국 NSA가 발표한 권고문에서는 서버에 웹 셸을 설치하기 위해 가장 많이 악용한 취약점 중 하나로 Telerik UI CVE-2019-18935 취약점을 꼽았습니다.


지난주 발표된 또 다른 권고문에서는 ASCC 또한 2019년, 2020년 호주 조직을 공격하는데 가장 많이 악용된 취약점으로 Telerik UI CVE-2019-18935 취약점을 꼽았습니다.


대부분의 경우 조직에는 취약한 앱을 업데이트할 수 있는 방법이 없을 가능성이 있습니다. 이러한 경우 방화벽에서 CVE-2019-18935에 대한 악용 시도를 차단해야 합니다.


웹 방화벽이 없는 경우, 회사는 서버 및 워크스테이션에서 해킹 흔적이 없는지 살펴보아야 합니다. 


Red Canary는 회사의 서버와 시스템에서 Blue Mockingbird 공격의 흔적을 찾아볼 수 있는 지표를 공개했습니다.


현재 알약에서는 해당 악성 샘플에 대해 'Trojan.Agent.Miner'으로 탐지 중입니다.





출처:

https://www.zdnet.com/article/thousands-of-enterprise-systems-infected-by-new-blue-mockingbird-malware-gang/

https://redcanary.com/blog/blue-mockingbird-cryptominer/

관련글 더보기

댓글 영역