|
취약한 MS Exchange 서버 대상 봇넷, 암호 화폐 채굴로 이용 침해사고분석팀 2021.04.23 |
|
|
미패치 된 Microsoft Exchange 서버가 Prometei 봇넷의 표적이 되고 있다. 그리고 이 표적들은 가상화폐 모네로(XMR)의 채굴로 이용되고 있다.
이 봇넷은 윈도우와 리눅스를 모두 호환하며 작년에 처음 공격이 탐지되었다. 사이버 보안회사 Cybereason에 따르면 2016년 이 Prometei artifact가 VirusTotal에 처음 제출되었다. 이 사실은 5년 전부터 지금까지 이 봇넷이 있었고 공격으로 사용되고 있었다는 것을 의미한다. 최근에 가져온 Prometei 샘플을 분석해본 결과, Cybereason은 지난 3월에 MS에서 패치 됐던 취약점들을 이용해 공격할 수 있게 업데이트가 되었다고 말했다.
[그림 1. Prometei 봇넷의 공격 구조]
이 Prometei의 주 목적은 이 Exchange 서버에 암호 화폐 채굴 payload를 삽입해서 돈을 벌거나 EternalBlue를 이용하여 network 안에 다른 호스트들에게 접근 및 PC안에 있는 민감한 데이터를 추출한다. 여기서 더 나아가 이 봇넷은 다양한 명령어를 지원하는 백도어 기능까지 갖추도록 업데이트가 되고 있다. 실행 파일을 다운로드하거나 감염된 시스템 내에 있는 파일을 검색하는 기능까지 공격자가 원하는 기능을 수행할 수 있다. 그렇기 때문에 이 봇넷을 이용하여 더욱 정교한 공격이 가능해지고 그로 인한 피해 규모도 커질 수 있다.
Prometei 봇넷을 개발한 배후는 아직 밝혀지지 않았다. 하지만 과거에 있던 Prometei 봇넷을 분석해보면 러시아어로 된 제품 이름 및 코드를 볼 수 있다. Cybereason는 Prometei 봇넷 배후에 있는 공격 행위자가 정부가 아닌 돈을 목적으로 공격을 진행하고 있을 것이라고 추측했다.
[그림 2. 러시아어로 된 코드를 사용하는 Prometei 봇넷]
올해 3월에 Microsoft Exchange 서버에서 발견된 취약점은 현재 구동 중인 Exchange 서버의 약 92%가 영향을 받을 것이라고 Microsoft는 전했다. 이 때문에 이 취약점을 이용한 공격들이 이번 Prometei 봇넷 이외에도 다양하게 진행하고 있다. 몇몇 중국 기반 해킹 그룹들이 이 취약점을 이용해 공격을 시도한 것으로 밝혀졌고 또 다른 해킹 그룹들은 이 취약점을 이용해 웹 쉘이나 랜섬 웨어 및 암호 화폐 채굴 프로그램을 올리는 방식으로 공격을 수행했다.
현재 Microsoft 사는 이 취약점을 한번 클릭하면 패치 할 수 있는 EOMT(Exchange On-premises Mitigation Tool)을 만들어 배포 중이다.
출처 https://www.bleepingcomputer.com/news/security/botnet-backdoors-microsoft-exchange-servers-mines-cryptocurrency/ https://www.cybereason.com/blog/prometei-botnet-exploiting-microsoft-exchange-vulnerabilities https://thecoinshark.net/ko/cybersecurity/warning-the-new-botnet-prometei-has-already-hit-5-000-computers |
