New MrbMiner malware infected thousands of MSSQL DBs
한 해커 그룹이 MSSQL 서버에 브루트포싱 공격을 실행하고 있는 것으로 나타났습니다. 이들의 목적은 시스템 해킹 및 가상화폐 채굴 악성코드를 설치하기 위한 것으로 드러났습니다.
텐센트에 따르면 이 해커 팀은 지난 몇 달 동안 활동해 왔으며 크립토마이너를 설치하기 위해 마이크로소프트 SQL 서버(MSSQL)을 해킹했습니다.
“텐센트는 새로운 마이닝 트로이 목마 패밀리인 MrbMiner를 발견했습니다. 해커는 SQL 서버의 취약한 비밀번호를 뚫고 침입했습니다. 이후 타깃 시스템에 C#로 작성된 트로이목마인 assm.exe를 드롭한 후 모네로 마이닝 트로이목마를 다운로드 및 실행합니다.”
해커는 MSSQL 서버 수천 대를 공격하기 위해 봇넷을 사용했습니다.
이 악성코드 갱의 이름인 MrbMiner는 악성코드를 호스팅하는 그룹이 사용한 도메인 중 하나에서 따왔습니다.
해커가 시스템에 접근 권한을 얻게 되면 이들은 초기 assm.exe 파일을 다운로드하여 지속성을 유지하고 재접근을 위해 백도어 계정을 추가했습니다.
연구원들은 계정명 “Default”, 패스워드 “@fg125kjnhn987”로 설정된 백도어 계정 하나를 발견했습니다.
이 악성코드는 계정을 생성할 때 로컬 서버에서 실행되는 모네로(XMR) 가상화폐 채굴기를 다운로드하기 위해 C2 서버에 연결합니다.
MSSQL 서버에 배포된 MbrMiner 버전에서 사용한 모네로 지갑은 7모네로 (~$630) 가량이 들어있었습니다.
이 새로운 공격의 가장 흥미로운 측면 중 하나는 연구원들이 C2 서버에서 리눅스 서버 및 ARM 기반 시스템을 공격하도록 설계된 MrbMiner의 변종을 발견했다는 것입니다.
당시 연구원들은 MSSQL 서버를 노린 공격만을 관찰했지만, 리눅스 버전을 분석한 결과 3.38모네로(~$300)를 담은 모네로 지갑이 발견되어 리눅스 버전 또한 이 캠페인에 사용된 것으로 추측됩니다.
“텐센트의 보안 전문가들은 공격자의 FTP 서버 ftp[:]//145.239.225.15에서 리눅스 및 ARM 플랫폼을 기반으로 하는 마이닝 트로이목마 또한 발견했습니다.”
연구원들은 이 공격 캠페인을 식별할 수 있는 침해 지표(IoC)를 공개하였습니다. 관리자 분들은 MSSQL 서버에 Default/@fg125kjnhn987 계정이 존재하는지 확인하는 것이 좋습니다.
출처:
https://securityaffairs.co/wordpress/108341/hacking/mrbminer-mssql-miner.html
https://s.tencent.com/research/report/1105.htmlMaze 랜섬웨어, 탐지를 피하기 위해 암호화에 가상머신 사용 (0) | 2020.09.18 |
---|---|
Cerberus 뱅킹 트로이 목마 소스코드, 무료로 공개돼 (0) | 2020.09.17 |
윈도우 10 'Finger' 명령어, 파일 다운로드 및 탈취에 악용 가능해 (0) | 2020.09.16 |
구글, 어린이의 유튜브 브라우징 습관 수집 및 판매 혐의로 고소 당해 (0) | 2020.09.16 |
Staples, 고객 정보 유출 시킨 데이터 침해 사고 공지 (0) | 2020.09.15 |
댓글 영역