CoinMiner

이더리움 클래식 코인을 채굴하는 코인 마이너 공격 사례

ASEC 분석팀은 국내외를 대상으로 유포되고 있는 코인 마이너 악성코드들을 모니터링하고 있으며, 과거 다수의 블로그들을 통해 다양한 유형의 코인 마이너 악성코드 공격 사례를 소개한 바 있다. 최근에는 이더리움 클래식 코인을 마이닝하는 악성코드들이 확인되고 있어 본 포스팅에서 소개하려고 한다. 0. 개요 코인 마이너 악성코드는 사용자의 인지 없이 설치되어 시스템의 자원을 이용해 가상화폐를 채굴하는 악성코드로서 감염 시스템의 성능 저하를 유발한다. 코인 마이너를 유포하는 공격자들은 이러한 행위 자체가 불법이기 때문에 추적을 방해하기 위해 주로 모네로와 같이 익명성을 보장하는 코인을 마이닝하는 경향이 있다. 이에 따라…

한글 워드 프로세서 크랙으로 위장하여 유포 중인 Orcus RAT

ASEC 분석팀은 최근 Orcus RAT이 웹하드에서 한글 워드 프로세서의 크랙 버전으로 유포 중인 것을 확인하였다. 이를 유포한 공격자는 과거 웹하드에서 윈도우 정품 인증 툴을 위장해 BitRAT과 XMRig 코인 마이너를 유포하였던 공격자와 동일하다.[1] 공격자가 유포 중인 악성코드들은 과거와 유사한 형태이지만, BitRAT 대신 Orcus RAT을 사용한 것이 특징이다. 이외에도 안티바이러스의 행위 탐지를 우회하기 위해 복잡한 과정을 거친다거나, 작업 스케줄러에 파워쉘 명령을 등록하여 주기적으로 최신 악성코드들을 설치하는 등 과거와 비교해 훨씬 정교한 형태로 변화되었다. 웹하드는 토렌트와 함께 국내 사용자를 대상으로 하는 공격자들이 사용하는…

취약한 Atlassian Confluence 서버를 대상으로 하는 공격 사례

ASEC 분석팀에서는 취약한 시스템들을 대상으로 하는 공격을 모니터링하고 있다. 여기에서는 패치되지 않은 취약한 아틀라시안 컨플루언스(Atlassian Confluence) 서버를 대상으로 공격하는 사례를 소개한다. 아틀라시안 사의 컨플루언스는 대표적인 협업 플랫폼으로서 전 세계 많은 기업이 업무에 활용하고 있다. 컨플루언스는 웹 기반 플랫폼으로서 프로젝트 관리 및 협업과 같은 서비스는 실질적으로 컨플루언스 서버(또는 컨플루언스 데이터 센터)를 통해 제공된다. 다수의 기업들에서 사용되는 유명한 솔루션이다 보니 과거부터 꾸준히 취약한 컨플루언스 서버 및 데이터 센터를 대상으로 하는 취약점들이 발견되고 있으며 공격자들에 의해 패치되지 않은 시스템들이 공격 대상이 되고 있다….

악성코드 감염 시 단순히 치료에 그쳐서는 안되는 이유

2022년 1월 국내 제조업 분야 유수의 기업에서 내부의 다수 시스템이 Darkside 랜섬웨어에 감염되는 피해가 발생했다. AD 그룹 정책을 이용해 Darkside 랜섬웨어가 배포된 정황이 확인되어, DC 서버 포렌식 분석을 시도했으나 가상 환경에서 운영 중이었던 DC 서버의 가상 환경 운영 시스템 자체가 손상되어 DC서버를 확보할 수는 없었다. 대신에 Darkside 랜섬웨어에 감염 후 기존 백업을 활용해 복구된 시스템 중 WebLogic 서버 2대가 유사 시기에 WebShell에 감염된 것이 확인되어, Darkside 랜섬웨어의 감염 원인이 WebShell인지를 파악하고자 포렌식 분석을 수행했다.  이전 스냅샷으로 복구된 WAS1, WAS2 서버를 분석…

취약한 MS-SQL 서버를 대상으로 유포 중인 코인 마이너

ASEC 분석팀은 취약한 MS-SQL 서버를 대상으로 유포되는 악성 코드들을 지속해서 모니터링하고 있다. 이전 블로그에서는 CobaltStrike와 Remcos RAT이 유포된 사례를 다루었지만, 실제 확인되고 있는 공격의 상당 수는 코인 마이너 악성코드이다. – [ASEC 블로그] 취약한 MS-SQL 서버를 대상으로 유포 중인 Remcos RAT– [ASEC 블로그] 취약한 MS-SQL 서버를 대상으로 유포 중인 코발트 스트라이크– [ASEC 블로그] 취약한 MS-SQL 서버를 대상으로 유포 중인 코발트 스트라이크 (2) 여기에서는 작년부터 최근까지 꾸준히 유포되고 있으며 동시에 높은 비율을 차지하고 있는 특정 유형의 코인 마이너 악성코드에 대해서 다룬다. 자사…