엔터프라이즈 시스템 수천 곳, 새로운 Blue Mockingbird 그룹의 악성코드에 감염

Thousands of enterprise systems infected by new Blue Mockingbird malware gang

엔터프라이즈 시스템 수천 곳이 Blue Mockingbird 해킹 그룹의 가상화폐 채굴 악성코드에 감염된 것으로 보입니다.

Red Canary의 악성코드 분석가가 이달 초 발견한 Blue Mockingbird 그룹은 2019년 12월부터 활동을 시작한 것으로 추측됩니다.

연구원들은 Blue Mockingbird가 ASP.NET 앱을 사용하며 UI 컴포넌트로 Teleric 프레임워크를 사용하는 인터넷에 공개된 서버를 공격한다고 밝혔습니다.

해커들은 CVE-2019-18935 취약점을 악용하여 해킹한 서버에서 웹 셸을 설치합니다. 

이후 Juicy Potato 기술을 통해 관리자 수준 권한을 획득하고, 지속성을 얻기 위해 서버 설정을 변경합니다.

시스템 전체 접근 권한을 얻으면 모네로(XMR) 가상화폐 마이닝 앱으로 유명한 XMRRig를 다운로드 및 설치합니다.

내부 네트워크를 중심으로 공격

Red Canary의 전문가들은 공개 인터넷 대면 IIS 서버가 회사의 내부 네트워크에 연결되어 있을 경우, 이 그룹은 취약한 RDP 또는 SMB 연결을 통해 내부로도 확산을 시도합니다.

Red Canary가 이달 초 ZDNet에 보낸 이메일에서는 연구원들이 봇넷 활동 전체를 확인할 수는 없었지만, 지금까지 최소 1,000건을 감염시켰을 것으로 예상했습니다.

하지만 피해를 받은 회사의 수는 훨씬 많을 수 있으며, 안전하다고 자신하는 회사들 또한 공격에 당했을 수 있다고 밝혔습니다.

위험한 TELERIK UI의 취약점

취약한 Telerik UI 컴포넌트가 최신 버전에서 실행되는 ASP.NET 애플리케이션에 포함될 수 있습니다. 

ASP.NET 애플리케이션의 버전이 최신일지라도 Telerik 컴포넌트가 구 버전이기 때문에, 회사는 여전히 공격에 노출됩니다.

많은 회사와 개발자들은 Telerik UI 컴포넌트가 그들의 애플리케이션에 포함되었는지조차 알지 못할 수 있으며, 따라서 회사가 공격에 노출되는 것입니다.

이 취약점에 대한 세부 정보가 공개된 후, 지난 1년 동안 수없이 악용되어 왔습니다.

예를 들어, 지난 4월 미국 NSA가 발표한 권고문에서는 서버에 웹 셸을 설치하기 위해 가장 많이 악용한 취약점 중 하나로 Telerik UI CVE-2019-18935 취약점을 꼽았습니다.

지난주 발표된 또 다른 권고문에서는 ASCC 또한 2019년, 2020년 호주 조직을 공격하는데 가장 많이 악용된 취약점으로 Telerik UI CVE-2019-18935 취약점을 꼽았습니다.

대부분의 경우 조직에는 취약한 앱을 업데이트할 수 있는 방법이 없을 가능성이 있습니다. 이러한 경우 방화벽에서 CVE-2019-18935에 대한 악용 시도를 차단해야 합니다.

웹 방화벽이 없는 경우, 회사는 서버 및 워크스테이션에서 해킹 흔적이 없는지 살펴보아야 합니다. 

Red Canary는 회사의 서버와 시스템에서 Blue Mockingbird 공격의 흔적을 찾아볼 수 있는 지표를 공개했습니다.

현재 알약에서는 해당 악성 샘플에 대해 'Trojan.Agent.Miner'으로 탐지 중입니다.

출처:

https://www.zdnet.com/article/thousands-of-enterprise-systems-infected-by-new-blue-mockingbird-malware-gang/

https://redcanary.com/blog/blue-mockingbird-cryptominer/