|
손상된 Exchange Server를 Monero 채굴에 악용 침해사고분석팀 2021.04.16 |
|
|
ProxyLogon 공격에 취약한, 패치되지 않은 Exchange Server가 직면한 위협 목록에 크립토 재킹이 추가될 수 있다는 새로운 연구 결과가 나왔다. SophosLabs가 이번 주 온라인에 게시한 보고서에 따르면 연구원들은 널리 알려진 익스플로잇 체인을 사용하는 손상된 Exchange 서버를 악용하는 위협 행위자가 Monero 크립토 마이닝 멀웨어를 호스팅하는 것을 발견했다.
Sophos 수석 연구원인 Andrew Brandt는 보고서를 통해 "알 수 없는 공격자가 현재 ProxyLogon 익스플로잇으로 알려진 것을 활용하여 악의적인 Monero 크립토 마이너를 Exchange 서버에 몰래 삽입하고, 손상된 Exchange 서버에서 악의적인 페이로드가 호스팅되도록 한다."라고 말한다. 연구원들은 고객의 Exchange 서버를 표적으로 삼은 "비정상적인 공격"을 발견했을 때 원격 분석을 통해 조사했다. 연구원들은 보고서를 통해 이 공격과 관련된 실행 파일을 Mal/Inject-GV과 XMR-Stak Miner (PUA)로 탐지했다고 말했다. 또한, SophosLabs GitHub 페이지에 침해 지표목록을 게시하여 조직이 어떠한 방식으로 공격을 받았는지 인식할 수 있도록 지원했다.
연구원들이 관찰 한 공격은 다른 손상된 서버의 Outlook Web Access logon 경로(/owa/auth)에서 win_r.zip이라는 파일을 검색하는 PowerShell 명령으로 시작됐다. 자세히 살펴보면 .zip 파일은 압축된 아카이브가 아니라 Windows에 내장된 certutil.exe 프로그램을 호출하여 두 개의 추가 파일인 win_s.zip 및 win_d.zip을 다운로드하는 배치 스크립트였다.
첫 번째 파일은 QuickCPU.b64로 파일시스템에 기록된다. QuickCPU.b64는 base64에서 실행 가능한 페이로드로 base64로 인코딩된 보안 인증서를 디코딩하는 certuril 애플리케이션에 의해 디코딩된다. 그런 다음 배치 스크립트는 디코딩된 실행 파일을 동일한 디렉터리에 출력하는 다른 명령을 실행한다. 일단 디코딩되면 배치 스크립트가 실행 파일을 실행하여 QuickCPU.dat 파일에서 채굴 프로그램과 및 설정 데이터를 추출하고, 추출한 파일을 시스템 프로세스에 삽입한 다음 공격의 흔적을 삭제한다.
[ 그림1. PEx64-Injector Github 페이지 ]
공격에서 사용된 실행 파일에는 Github에서 공개적으로 사용할 수 있는 PEx64-Injector라는 도구의 수정된 버전이 포함되어 있는 것으로 보인다. 이 도구의 Github 페이지에는 "관리자 권한없이 모든 64bit exe를 64bit 프로세스로 마이그레이션할 수 있는 기능이 있다” 라고 설명되어 있다.
출처 https://threatpost.com/attackers-target-proxylogon-cryptojacker/165418/ https://threatpost.com/microsoft-exchange-zero-day-attackers-spy/164438/ https://threatpost.com/microsoft-exchange-servers-proxylogon-patching/165001/ |
