새로운 MrbMiner 악성코드, 수천 MSSQL DB 감염시켜

New MrbMiner malware infected thousands of MSSQL DBs

 

한 해커 그룹이 MSSQL 서버에 브루트포싱 공격을 실행하고 있는 것으로 나타났습니다. 이들의 목적은 시스템 해킹 및 가상화폐 채굴 악성코드를 설치하기 위한 것으로 드러났습니다.

 

텐센트에 따르면 이 해커 팀은 지난 몇 달 동안 활동해 왔으며 크립토마이너를 설치하기 위해 마이크로소프트 SQL 서버(MSSQL)을 해킹했습니다.

 

“텐센트는 새로운 마이닝 트로이 목마 패밀리인 MrbMiner를 발견했습니다. 해커는 SQL 서버의 취약한 비밀번호를 뚫고 침입했습니다. 이후 타깃 시스템에 C#로 작성된 트로이목마인 assm.exe를 드롭한 후 모네로 마이닝 트로이목마를 다운로드 및 실행합니다.”

 

해커는 MSSQL 서버 수천 대를 공격하기 위해 봇넷을 사용했습니다.

 

이 악성코드 갱의 이름인 MrbMiner는 악성코드를 호스팅하는 그룹이 사용한 도메인 중 하나에서 따왔습니다.

 

해커가 시스템에 접근 권한을 얻게 되면 이들은 초기 assm.exe 파일을 다운로드하여 지속성을 유지하고 재접근을 위해 백도어 계정을 추가했습니다.

 

연구원들은 계정명 “Default”, 패스워드 “@fg125kjnhn987”로 설정된 백도어 계정 하나를 발견했습니다.

 

이 악성코드는 계정을 생성할 때 로컬 서버에서 실행되는 모네로(XMR) 가상화폐 채굴기를 다운로드하기 위해 C2 서버에 연결합니다.

 

MSSQL 서버에 배포된 MbrMiner 버전에서 사용한 모네로 지갑은 7모네로 (~$630) 가량이 들어있었습니다.

 

이 새로운 공격의 가장 흥미로운 측면 중 하나는 연구원들이 C2 서버에서 리눅스 서버 및 ARM 기반 시스템을 공격하도록 설계된 MrbMiner의 변종을 발견했다는 것입니다.

 

당시 연구원들은 MSSQL 서버를 노린 공격만을 관찰했지만, 리눅스 버전을 분석한 결과 3.38모네로(~$300)를 담은 모네로 지갑이 발견되어 리눅스 버전 또한 이 캠페인에 사용된 것으로 추측됩니다.

 

“텐센트의 보안 전문가들은 공격자의 FTP 서버 ftp[:]//145.239.225.15에서 리눅스 및 ARM 플랫폼을 기반으로 하는 마이닝 트로이목마 또한 발견했습니다.”

 

연구원들은 이 공격 캠페인을 식별할 수 있는 침해 지표(IoC)를 공개하였습니다. 관리자 분들은 MSSQL 서버에 Default/@fg125kjnhn987 계정이 존재하는지 확인하는 것이 좋습니다.

 

 

 

 

출처:

https://securityaffairs.co/wordpress/108341/hacking/mrbminer-mssql-miner.html

https://s.tencent.com/research/report/1105.html