2024년 2분기 MS-SQL 대상 악성코드 통계 보고서

개요

 

ASEC 분석팀에서는 자사 ASD 인프라를 활용하여 취약한 MS-SQL 서버를 대상으로 하는 공격들에 대한 대응 및 분류를 진행하고 있다. 본 문서에서는 2024년 2분기에 확인된 로그를 기반으로 공격 대상이 된 MS-SQL 서버들의 피해 현황과 해당 서버들을 대상으로 발생한 공격들에 대한 통계를 다룬다. 그리고 각각의 공격에 사용된 악성코드들을 분류하여 세부적인 통계를 정리한다. 악성코드들은 CoinMiner, Backdoor, Trojan, Ransomware, HackTool과 같은 유형 별로 분류한 후, 각 유형에 대해서도 알려진 악성코드들에 대해서는 구체적인 통계를 함께 제공한다.

 

2024년 2분기에 확인된 새로운 공격으로는 TargetCompany 공격자의 공격 사례와 국내 ERP 서버 대상 공격 사례가 존재한다. TargetComapny 랜섬웨어 그룹은 주로 부적절하게 관리되는 MS-SQL 서버를 공격하여 Mallox 랜섬웨어를 설치하고 있으며 이러한 공격은 수 년째 지속되고 있다. 하지만 최근에는 새롭게 확인된 악성코드를 통해 과거 Tor2Mine 코인 마이너, BlueSky 랜섬웨어를 유포했던 공격 사례와의 연관성이 확인되었다.

 

TargetCompany 그룹은 파워쉘 대신 MS-SQL 서버의 SQLPS 도구를 악용하여 Remcos RAT을 설치하고 있으며 이외에도 추가적으로 AnyDesk를 설치하기도 한다. 참고로 직접 AnyDesk를 설치하는 대신 원격 화면 제어 악성코드를 악용하여 설치하는 경우가 존재하며 이 악성코드는 과거 BlueSky 랜섬웨어 공격 사례에서 Tor2Mine 코인 마이너와 함께 사용되기도 하였다.

 

[그림 1] 공격에 사용된 원격 화면 제어 악성코드

 

이외에도 국내 기업의 ERP 서버를 공격하여 SoftEther VPN을 설치한 사례도 확인된다. 공격자는 최초 침투 과정에서 MS-SQL 서비스를 공격하였으며 이후 ERP 솔루션에 웹쉘을 설치하여 지속성을 유지하고 감염 시스템을 제어하였다. 여기까지의 과정이 끝난 후에는 감염 시스템을 VPN 서버로 활용하기 위해 최종적으로 SoftEther VPN 서비스를 설치한 것이 특징이다.

 

참고로 공격자는 공격 대상이 된 ERP 서버를 단순히 VPN 서버로 활용하는 것이 목적은 아닌 것으로 보인다. 공격자가 사용한 설정 파일은 단독으로 VPN 서비스를 제공하는 서버로서의 역할이 아닌 또 다른 VPN 서버에 연결하는 “Cascade Connection” 방식으로 동작한다. 즉 공격자는 보안 및 프라이버시를 강화하고 실제 C&C 서버에 대한 추적을 방해하기 위한 C&C 인프라 구축을 위해 활용하는 것으로 추정된다.

 

[그림 2] 또 다른 VPN 서버에 연결하는 SoftEther VPN의 설정 파일

 

 

통계

 

1. MS-SQL 서버 대상 공격 현황

 

다음은 2024년 2분기에 자사 ASD 로그를 통해 확인된 MS-SQL 서버 대상 공격에 대한 통계이다.