GuardMiner 크립토마이너, 9가지 취약점 악용해

 

 

GuardMiner利用9种手法攻击传播，腾讯安全全面拦截

 

Tencent Security Threat Intelligence Center가 Elasticsearch 원격 코드 실행 취약점(CVE-2015-1427)을 포함한 9가지 취약점을 사용하여 클라우드 호스트에 대한 공격을 시작한 GuardMiner 크립토마이너 트로이목마의 새로운 공격 활동을 감지했습니다. 

 

GuardMiner는 2019년에 처음 등장해 2년 이상 활동해 온 마이닝 트로이목마로, Go 언어로 작성된 바이너리 프로그램을 사용하여 Windows 플랫폼과 Linux 플랫폼을 공격합니다. 

 

GuardMiner는 crontab 타이밍 작업을 사용하고 SSH 공개 키 백도어를 설치하여 지속적으로 제어하는 것으로 알려져 있습니다. 또한 비트코인 트랜잭션 레코드를 사용하여 C2 주소를 동적으로 업데이트합니다. 

 

탐지 데이터에 따르면 10,000개 이상의 피해자 호스트가 있는 것으로 추정되며 트로이목마는 클라우드 호스트에 설치된 보안 소프트웨어를 제거합니다. 

분석 결과, GuardMiner 공격 그룹의 최신 공격 활동은 아래의 9가지 취약점을 사용했습니다.

1) CCTV 장치 RCE 취약점
2) Redis 무단 액세스 취약점
3) Drupal 프레임 워크 CVE-2018-7600 취약점
4) Hadoop 무단 액세스 취약점
5) Spring RCE 취약점(CVE-2018-1273)
6) Thinkphp V5 고위험 취약점
7) WebLogic RCE 취약점 (CVE-2017-10271)
8) SQL Server 취약한 암호 크랙
9) Elasticsearch RCE 취약점 (CVE-2015-1427, CVE-2014-3120)

GuardMiner 그룹이 클라우드 호스트를 공격한 후 채굴 작업을 진행하게 되면 서버 성능에 부정적인 영향을 미쳐 서버의 정상적인 업무 중단이나 충돌로 이어질 수 있습니다. 

 

또한 GuardMiner 공격자는 서버에 백도어를 남겨두며 Linux 방화벽을 닫고 클라우드 서버 보안 소프트웨어를 제거하는 등 서버의 보안을 손상시켜 다른 해커들의 공격을 받을 위험을 증가시킵니다. 

 

따라서 보안 전문가는 기업 보안 담당자가 네트워크 서버 구성 요소 취약점을 적극적으로 패치하고, 취약한 암호 사용을 피하고, 취약점 악용 공격에 의해 클라우드 호스트가 손상되는 것을 방지할 것을 권장했습니다.

 

현재 이스트시큐리티 알약에서는 해당 악성코드 샘플에 대해 'Trojan.Linux.CoinMiner'로 탐지 중입니다.

 

 

 

출처:

https://s.tencent.com/research/report/1265.html