Wins Security Information

보안 동향

앞 내용 보기 다음 내용 보기
보안 동향이란 소프트웨어 회사와 연결된 MrbMiner 암호화폐 마이너
작성일 2021-01-22 조회 40

crypto miner malware

 

지난 해  수천 개의 MSSQL 데이터베이스를 감염시킨 새로운 암호 채굴 악성코드가 이란에 본사를 둔 소규모 스프트웨어 개발회사와 연결됐다.

 

사이버 보안 회사인 Sophos의 연구원들은 이러한 귀속이 운영상의 감시 때문에 가능했다고 말했는데, 이 때문에 회사 이름이 실수로 암호 해독기 코드에 들어가게 되었다고 말했다.

 

지난 해 9월 중국 거대 기업인 텐센트에 의해 처음 문서화된 MrbMiner는 시스템의 처리 능력을 빼앗아 모네로를 채굴하려는 목적으로, 인터넷의 MSSQL 서버를 표적으로 삼은 것으로 밝혀졌다.

 

"MrbMiner"라는 이름은 그 그룹이 그들의 악성 채굴 소프트웨어를 호스트하기 위해 사용하는 도메인들 중 하나를 따서 붙여졌다.

 

MrbMiner는 대부분의 암호 채굴 공격과 비슷하지만, 공격자가 자신의 신분을 감추는 일에 있어서 조심성이 부족했다. 마이너의 구성, 도메인 및 IP 주소와 관련된 많은 기록들이 이란에 본사를 둔 소규모 소프트웨어 회사를 가리키고 있었기 때문이다.

 

MrbMiner는 취약한 암호의 다양한 조합으로  MSSQL 서버의 admin 계정에 대한 brute-force 공격을 수행한다. 

 

 

crypto miner malware

[그림 1. 바이너리 연관 분석]

 

액세스 권한을 얻으면 "assm[.]exe"라는 트로이 목마가 다운로드되어 지속성을 설정하고 백도어 계정을 추가하여 향후 액세스(username: Default, password: @fg125kjnhn987) 및 대상 서버에서 실행되는 Monero(XMR) 암호화폐 채굴 페이로드를 검색한다.

 

Sofos에 따르면 sys[.]dll, agentx[.]dll, hostsx[.]dll과 같은 다양한 이름으로 불리는 이 페이로드들은 의도적으로 이름이 잘못 지정된 ZIP 파일이었는데, 이 파일들에는 각각 마이너 바이너리와 구성 파일이 들어있었다.

 

크립토재킹 공격은 일반적으로 그 원인을 밝히기 힘들지만, MrbMiner와 함께 공격자들은 페이로드 위치와 명령-제어(C2)주소를 다운로더에 하드코딩하는 실수를 범한 것으로 보인다.

 

출처

https://thehackernews.com/2021/01/mrbminer-crypto-mining-malware-links-to.html

첨부파일 첨부파일이 없습니다.
태그 MrbMiner