ProxyShellMiner 악성코드가 암호화폐 채굴을 위한 취약점을 악용하다

새로운 악성코드 발견인 ProxyShellMiner는 ProxyShell 취약점을 악용하여 Windows 도메인 전역에 암호화폐 채굴기를 설치하여 위협 행위자에게 이익을 가져다 줍니다.

모르는 분들을 위해 설명하자면, ProxyShell은 2021년 Microsoft에 의해 발견되고 수정된 Exchange 취약점 중 하나입니다. 세 가지 취약점이 결합되어 있으며, 이 취약점들은 무단 원격 코드 실행을 허용하고 위협 행위자가 Exchange 서버를 완전히 제어하고 기업 서버의 다른 부분으로 전환할 수 있게 합니다.

이제 Morphisec에 의해 공격이 발견되었고, 위협 행위자들은 CVE-2021-34523으로 추적되는 ProxyShell 취약점을 악용하여 조직 네트워크에 초기 접근을 얻습니다.

그 후, 공격자들은 NETLOGON 폴더에 NET 악성코드 페이로드를 배포하여 네트워크의 모든 장치가 악성코드를 실행하도록 합니다.

읽기: 새로운 로열 트로이안 변종 발견, VMware ESXi 가상 머신을 타겟으로 함

악성코드가 활성화되기 위해서는 XMRig 채굴기 구성 요소의 비밀번호 역할을 하는 명령줄 매개변수가 필요합니다. ProxyShell은 Morphisec에서 언급한 원격 서버에서 다운로드된 XOR 키와 XOR 복호화 알고리즘을 사용하는 내장 디렉토리를 사용합니다.

게다가, C# 프로그램 CSC.exe를 사용하여 “InMemory” 컴파일 매개변수로 다음 내장 코드 모듈을 실행합니다. 다음 단계에서, 악성코드는 “DC_DLL”이라는 파일을 다운로드하고 NET 반사를 실행하여 작업 스케줄러, XML 및 XMRig 키에 대한 인수를 추출한 다음 DLL 파일은 추가 파일의 복호화에 사용됩니다.

읽기: 러시아 위협 행위자들이 Enigma 악성코드로 암호화폐를 타겟으로 함

이와 더불어, 두 번째 다운로더는 사용자 로그인을 기준으로 구성된 예약 작업을 생성하여 손상된 컴퓨터에서 연결을 설정합니다. 두 번째 다운로더는 원격 위치에서 네 개의 다른 파일과 함께 다운로드됩니다.

이 모든 작업 후, 파일은 주입된 컴퓨터의 어떤 브라우저가 메모리에 채굴기를 주입하는 데 사용될지를 결정하고 “프로세스 할로잉”으로 알려진 방법을 사용하여 하드코딩된 목록에서 무작위 풀을 선택한 후 채굴 프로세스가 시작됩니다.

이 공격 체인의 마지막 단계는 모든 아웃바운드 트래픽을 차단하는 방화벽 규칙을 만드는 것입니다. 이는 모든 Windows 방화벽에 적용되며, 이렇게 하는 이유는 방어자가 악성코드를 발견하거나 손상된 시스템에서의 가능한 주입에 대한 알림을 받을 가능성을 줄이기 위함입니다.

보안 프로그램이 프로세스 런타임 행동을 모니터링하는 것을 피하기 위해, 악성코드는 브라우저 할로잉 후 최소 30초를 기다린 다음 방화벽 규칙을 설정합니다. 채굴기가 보안 프로그램에서 모니터링되지 않는 백도어를 통해 채굴 도구와 통신할 가능성이 있습니다.

보안 회사들은 악성코드의 영향이 단순한 서비스 중단 및 기계 과열을 넘어선다고 경고합니다. 위협 행위자가 네트워크에 발을 들여놓게 되면 공격자는 백도어 배포부터 코드 실행까지 무엇이든 할 수 있습니다.

읽기: W4SP 스틸러가 PyPi 인덱스에서 발견되어 암호화폐 지갑 및 브라우저 비밀번호를 위협함