마이크로소프트 익스체인지 서버, 백도어 및 가상화폐 채굴 공격 받아

 

 

Botnet backdoors Microsoft Exchange servers, mines cryptocurrency

 

패치되지 않은 마이크로소프트 익스체인지(Microsoft Exchange) 서버가 Prometei 봇넷의 공격 대상이 되고 있는 것으로 나타났습니다. 공격을 받은 서버는 운영자의 XMR 가상화폐 채굴 봇에 추가됩니다.

 

이 모듈형 악성코드는 윈도우 및 리눅스 시스템을 모두 감염시킬 수 있으며, 작년 해킹된 네트워크를 통해 전파되고 취약한 윈도우 컴퓨터를 노예로 만든 EternalBlue 익스플로잇을 사용한 공격에서 처음으로 발견되었습니다.

 

 

최소 2016년 이후부터 활동해

 

Cybereason의 Nocturnus 팀은 해당 봇넷이 최소한 5년은 활동해 온 것으로 보인다고 밝혔습니다. 2016년 5월 VirusTotal에 Prometei의 아티팩트가 등록된 적이 있는 것으로 나타났습니다.

 

연구원들은 최근 사고 대응 과정에서 이 악성코드 샘플을 발견했으며, 지난 3월 마이크로소프트에서 패치한 익스체인지 서버 취약점을 악용하기 위해 업데이트되었다고 밝혔습니다.

 

Prometei는 주로 익스체인지 서버에 가상화폐 페이로드를 배포하고, 운영자를 위한 수익을 창출하고 EternalBlue 및 BlueKeep 익스플로잇, 수집한 자격 증명, SSH 및 SQL 스프레더 모듈을 통해 다른 네트워크로 확산됩니다.

 

Cybereason은 아래와 같이 언급했습니다.

 

“공격자가 감염된 컴퓨터를 제어할 경우, 컴퓨터의 처리 능력을 악용해 비트코인을 채굴할 뿐 아니라 민감 정보도 유출할 수 있게 됩니다. 또한 공격자들이 원할 경우, 해킹된 엔드포인트를 다른 악성코드로 감염시키고 랜섬웨어 조직과 협력해 엔드포인트에 대한 액세스 권한을 판매하는 것도 가능합니다.”

 

 

<이미지 출처 : https://www.cybereason.com/blog/prometei-botnet-exploiting-microsoft-exchange-vulnerabilities>

<Prometei 익스체인지 공격 플로우>

 

 

백도어 기능을 통한 봇넷 크립토재킹

 

하지만 이 악성코드는 광범위한 명령을 지원하는 백도어 기능을 추가해 업그레이드 되었습니다.

 

여기에는 파일 다운로드 및 실행, 감염된 시스템에서 파일 탐색, 공격자를 대신하여 프로그램 또는 명령을 실행하는 기능 등이 포함됩니다.

 

“Prometei의 최신 버전은 이제 공격자가 피해자의 주의를 끌지 않고 모네로 코인을 채굴하기 위해 다양한 작업을 지원하는 정교하고 은밀한 백도어를 제공합니다.”

 

이 봇넷의 배후에 있는 공격자가 누구인지는 아직까지 밝혀지지 않았지만 봇넷의 이름인 Prometei(프로메테우스의 러시아어)를 포함하여 구 버전의 제품명이 러시아어로 작성된 것을 포함하여 공격자가 러시아어를 구사하는 것으로 추정할 수 있는 증거가 있습니다.

 

또한 이 봇넷 운영자의 목표는 금전적 이득이며, 정부의 지원을 받지 않는 것으로 추정했습니다.

 

연구원들은 아래와 같이 덧붙였습니다.

 

“최근 Prometei 공격에서 확인할 수 있듯 많은 공격자들이 최근 발견된 마이크로소프트 익스체인지 취약점을 악용하여 타깃 네트워크에 침투하려 시도합니다. 공격자는 이 공격을 통해 감염된 기기를 완전히 제어할 수 있는 권한을 얻어 정보를 훔치고, 엔드포인트를 다른 악성코드에 감염시키고, 랜섬웨어 조직에 접근 권한을 팔아넘기는 등의 공격이 가능해 조직에 큰 위협이 됩니다.”

 

취약한 익스체인지 서버의 90% 이상이 패치된 상태

 

Prometei 에서 악용한 취약점인 CVE-2021-27065, CVE-2021-26858는 중국 정부의 지원을 받는 여러 해킹 그룹을 포함한 많은 해킹 그룹이 웹 셸, 랜섬웨어, 크립토마이닝 악성코드를 배포하는데 악용했습니다.

 

지난 달 마이크로소프트에서 공유한 통계에 따르면, 해당 취약점의 영향을 받는 모든 인터넷 연결 온-프레미스 익스체인지 서버의 약 92%에 패치가 적용된 상태로 이 공격으로부터 안전합니다.

 

마이크로소프트는 소규모 사업장에서 보안 전문가의 도움 없이도 보안 취약점을 빠르게 완화하는데 도움을 주는 원클릭 익스체인지 온-프레미스 완화 툴(EOMT)을 공개했습니다.

 

현재 이스트시큐리티 알약(ALYac)에서는 해당 악성코드 샘플을 'Trojan.Agent.Reconyc.A'로 탐지 중입니다.

 

 

 

 

 

출처:

https://www.bleepingcomputer.com/news/security/botnet-backdoors-microsoft-exchange-servers-mines-cryptocurrency/

https://www.prweb.com/releases/cybereason_discovers_global_botnet_campaign_leveraging_microsoft_exchange_vulnerabilities/prweb17886621.htm

https://www.cybereason.com/blog/prometei-botnet-exploiting-microsoft-exchange-vulnerabilities