New Sysrv Botnet Variant Hijacking Windows and Linux with Crypto Miners 마이크로소프트가 윈도우 및 리눅스 시스템에 코인 마이너를 설치하기 위해 웹 애플리케이션 및 데이터베이스의 보안 취약점 다수를 악용하는 새로운 srv 봇넷 변종에 대해 경고했습니다. 새 버전은 Sysrv-K라 명명되었으며, 이는 웹 서버를 제어하기 위해 일련의 익스플로잇을 무기화합니다. 이 크립토재킹 봇넷은 2020년 12월 처음으로 등장했습니다. 마이크로소프트는 트위터를 통해 아래와 같이 밝혔습니다. "Sysrv-K는 인터넷을 스캔해 다양한 취약점이 존재하는 웹 서버를 찾아 자기 자신을 스스로 설치합니다.” "취약점은 경로 탐색, 원격 파일 유출, 임의 파일 다운로드, 원격 코..

국내외 보안동향 2022. 5. 18. 09:00

Huawei Cloud targeted by updated cryptomining malware 지난 2020년 Docker 컨테이너를 공격하는 데 사용된 리눅스용 크립토마이너의 새 버전이 이제 화웨이 클라우드를 비롯한 클라우드 서비스 제공업체를 노리기 시작한 것으로 보입니다. Trend Micro의 연구원은 이 새로운 캠페인을 분석하여 해당 악성코드가 이전 기능을 유지하면서 새로운 기능을 추가해 어떻게 진화했는지 설명했습니다. 최신 샘플은 방화벽 규칙 생성 기능을 주석 처리했으며, API 관련 포트로 다른 호스트를 매핑하기 위한 네트워크 스캐너를 계속 드롭합니다. 새로운 악성코드 버전은 클라우드 환경만을 노리며, 이전에 시스템을 감염시킨 다른 크립토재킹 스크립트를 찾아 제거합니다. 이 악성 크립토마이너..

국내외 보안동향 2021. 10. 12. 09:00

SkidMap病毒利用Redis未授权访问漏洞攻击，数千台云主机沦为矿机 SkidMap 악성코드가 Redis 무단 액세스 취약점을 이용하여 클라우드 호스트에 침입하는 것으로 나타났습니다. 2019년 9월 발견된 Skidmap은 탐지를 피하기 위해 커널 모드 루트킷을 활용하는 리눅스 가상화폐 마이너입니다. SkidMap 악성코드는 감염 후 XMRig(모네로 마이닝 트로이목마), cpuminer(라이트코인 및 비트코인 마이닝 트로이목마)를 다운로드하여 이익 창출을 목표로 합니다. 또한 감염된 호스트에 대한 원격 제어를 유지하기 위해 SSH 백도어 공개키를 추가합니다. 그리고 악성 프로그램 패키지 gold8[.]tar[.]gz를 다운로드하여 여러 모듈을 해제하고 채굴 과정을 완료합니다. SkidMap와 다른 마이너의..

국내외 보안동향 2021. 4. 29. 15:00

GuardMiner利用9种手法攻击传播，腾讯安全全面拦截 Tencent Security Threat Intelligence Center가 Elasticsearch 원격 코드 실행 취약점(CVE-2015-1427)을 포함한 9가지 취약점을 사용하여 클라우드 호스트에 대한 공격을 시작한 GuardMiner 크립토마이너 트로이목마의 새로운 공격 활동을 감지했습니다. GuardMiner는 2019년에 처음 등장해 2년 이상 활동해 온 마이닝 트로이목마로, Go 언어로 작성된 바이너리 프로그램을 사용하여 Windows 플랫폼과 Linux 플랫폼을 공격합니다. GuardMiner는 crontab 타이밍 작업을 사용하고 SSH 공개 키 백도어를 설치하여 지속적으로 제어하는 것으로 알려져 있습니다. 또한 비트코인 트랜잭션..

국내외 보안동향 2021. 3. 23. 14:31

TeamTNT botnet now steals Docker API and AWS credentials Trend Micro의 연구원들이 TeamTNT 봇넷이 개선되어 Docker 크리덴셜을 훔치려 시도하고 있다고 밝혔습니다. TeamTNT 봇넷은 설치된 Docker를 노리는 크립토마이닝 악성코드로 2020년 4월부터 활동해왔습니다. 하지만 Cado Security의 전문가들은 지난 8월 이 봇넷이 잘못 구성된 Kubernete를 노릴 수도 있다고 밝혔습니다. 이 봇은 AWS 서버에서 실행되는 Docker와 Kubernetes 시스템을 감염시킨 후 AWS CLI에서 암호화되지 않은 파일 내부에 크리덴셜과 구성 정보를 저장하는 경로인 ~/.aws/credentials와 ~/.aws/config를 스캔합니다...

국내외 보안동향 2021. 1. 11. 14:00

Crypto-mining malware adds Linux password stealing capability TeamTNT 사이버 범죄 그룹이 크립토마이닝 웜 악성코드를 업데이트 했습니다. 이들은 악성코드에 비밀번호 탈취 기능과 네트워크 스캐너를 추가해 다른 취약한 기기로 더욱 쉽게 확산되도록 했습니다. 이 그룹은 해킹된 기기에서 무단으로 모네로(XMR)를 채굴하기 위해 Docker 인스턴스를 노리는 것으로 알려져 있지만, 이제 이 크립토재킹 악성코드는 사용자의 자격 증명 또한 수집하도록 업그레이드되었습니다. 비밀번호 스틸러, 스캐닝 기능 업그레이드 Unit 42 연구원들이 TeamTNT가 악성코드의 기능을 개선하는 작업을 진행 중이라는 것을 발견했습니다. 이번에는 mimipy(윈도우, 리눅스, mac..

국내외 보안동향 2020. 10. 6. 14:00

New MrbMiner malware infected thousands of MSSQL DBs 한 해커 그룹이 MSSQL 서버에 브루트포싱 공격을 실행하고 있는 것으로 나타났습니다. 이들의 목적은 시스템 해킹 및 가상화폐 채굴 악성코드를 설치하기 위한 것으로 드러났습니다. 텐센트에 따르면 이 해커 팀은 지난 몇 달 동안 활동해 왔으며 크립토마이너를 설치하기 위해 마이크로소프트 SQL 서버(MSSQL)을 해킹했습니다. “텐센트는 새로운 마이닝 트로이 목마 패밀리인 MrbMiner를 발견했습니다. 해커는 SQL 서버의 취약한 비밀번호를 뚫고 침입했습니다. 이후 타깃 시스템에 C#로 작성된 트로이목마인 assm.exe를 드롭한 후 모네로 마이닝 트로이목마를 다운로드 및 실행합니다.” 해커는 MSSQL 서버 수..

국내외 보안동향 2020. 9. 17. 09:00

WARNING: Hackers Install Secret Backdoor on Thousands of Microsoft SQL Servers 사이버 보안 연구원들이 2018년 5월부터 지속된 악성 캠페인을 발견했습니다. MS-SQL 서버를 운영하는 윈도우 기기를 노리며 백도어와 다기능 원격 접속 툴(RAT), 크립토마이너 등 기타 악성코드를 배포합니다. Guardicore Labs의 연구원에 따르면, Vollar + vurgar의 합성어인 “Vollgar”라 명명된 이 악성코드는 인터넷에 노출된 취약한 크리덴셜을 사용하는 마이크로소프트 SQL 서버에 브루트포싱 공격을 실행합니다. 연구원들은 공격자가 지난 몇 주 동안 매일 2,000~3,000대의 데이터베이스 서버를 성공적으로 감염시켰으며 중국, 인도, ..

국내외 보안동향 2020. 4. 2. 16:24