상세 컨텐츠

본문 제목

리눅스 암호 탈취 기능을 추가한 크립토마이닝 악성코드 발견

국내외 보안동향

by 알약4 2020. 10. 6. 14:00

본문

Crypto-mining malware adds Linux password stealing capability

 

TeamTNT 사이버 범죄 그룹이 크립토마이닝 웜 악성코드를 업데이트 했습니다. 이들은 악성코드에 비밀번호 탈취 기능과 네트워크 스캐너를 추가해 다른 취약한 기기로 더욱 쉽게 확산되도록 했습니다.

 

이 그룹은 해킹된 기기에서 무단으로 모네로(XMR)를 채굴하기 위해 Docker 인스턴스를 노리는 것으로 알려져 있지만, 이제 이 크립토재킹 악성코드는 사용자의 자격 증명 또한 수집하도록 업그레이드되었습니다.

 

비밀번호 스틸러, 스캐닝 기능 업그레이드


Unit 42 연구원들이 TeamTNT가 악성코드의 기능을 개선하는 작업을 진행 중이라는 것을 발견했습니다. 이번에는 mimipy(윈도우, 리눅스, macOS 지원) mimipenguin (리눅스 지원)을 통한 메모리 비밀번호 수집 기능, *NIX 데스크톱을 노리는 오픈 소스 Mimikatz 2개를 추가했습니다.

 

Unit 42에서 Black-T로 명명한 이 웜은 해킹된 시스템 내 메모리에서 발견한 모든 평문 비밀번호를 수집하여 TeamTNTC&C 서버로 전송합니다.

 


<비밀번호 스크래핑 및 탈취>

<이미지 출처: https://unit42.paloaltonetworks.com/black-t-cryptojacking-variant/>

 

 

이 그룹은 Black-T 크립토마이닝 웜에 zgrab GoLang 네트워크 스캐너 또한 추가했습니다. 이는 pnscan, masscan 다음으로 추가된 세 번째 스캐너입니다.

 

Black-T에서 사용된 Masscan 스캐너는 5555 TCP 포트를 노리도록 업데이트 되었습니다. 증거는 아직까지 미약하지만 이로써 TeamTnT는 잠재적으로 안드로이드 기기를 노리고 있다고 추측할 수 있습니다.

 

TeamTNT의 공격 개발 


이 그룹의 크립토마이닝 봇넷은 MalwareHunterTeam이 지난 5월 처음으로 발견했으며 Trend Micro에서 Docker를 노린다는 것을 발견 후 분석했습니다.

 

지난 8, Cado Security의 연구원들은 TeamTNT 웜의 새로운 AWS 자격 증명 탈취 기능을 처음으로 발견했습니다. 이로써 이는 자격 증명 탈취 기능을 포함한 첫 번째 크립토재킹 악성코드가 되었습니다.

 

지난 달, Intezer에서는 TeamTNT가 해킹된 서버의 실행 중인 프로세스, 콘테이너, 호스트를 매핑하고 설치된 애플리케이션을 제어하기 위해 정식 Weave Scope 오픈소스 툴을 배포한 것을 발견했습니다.

 

 

<AWS 크리덴셜을 훔치는데 사용된 코드>

<이미지 출처: https://www.cadosecurity.com/2020/08/17/teamtnt-the-first-crypto-mining-worm-to-steal-aws-credentials/>

 

 

연구원들은 Weave ScopeDocker, Kubernetes, DC/OS(Distributed Cloud Operating System), AWS ECS (Elastic Compute Cloud)와 통합되었기 때문에 피해자의 클라우드 인프라 전체를 제어할 수 있는 권한을 얻을 수 있었다고 밝혔습니다.

 

TeanTNT는 이러한 모든 TTP를 결합함으로써 해킹된 서버로 이루어진 봇넷을 통해 masscan, pnscan, zgrab 네트워크 스캐너를 사용하여 API가 노출된 Kubernetes, Docker 클라우드 환경을 스캔했습니다.

 

악성코드가 잘못 구성된 서버를 성공적으로 감염 시키면 새로운 콘테이너에 자기 자신을 배포 후 모네로(XMR) 가상화폐를 채굴하는 악성 페이로드 바이너리를 설치합니다.

 

Black-T 크립토재킹 웜의 최신 변종은 감염된 시스템에서 AWS CLI에서 자격 증명 및 구성 정보를 저장하는데 사용하는 암호화되지 않은 파일을 스캔하고, *NIX Mimikatx를 통해 메모리에서 평문 비밀번호를 수집할 것입니다.

 

현재 알약에서는 해당 악성코드 샘플에 대해 'Trojan.Linux.CoinMiner', 'Misc.HackTool.Python'으로 탐지 중에 있습니다. 

 


 

 

출처:

https://www.bleepingcomputer.com/news/security/crypto-mining-malware-adds-linux-password-stealing-capability/

https://unit42.paloaltonetworks.com/black-t-cryptojacking-variant/


관련글 더보기

댓글 영역