시스템 해킹 및 가상화폐 채굴 악성코드를 설치하기 특정 해커 그룹이 MSSQL 서버에 브루트포싱 공격을 실행했다며 중국의 정보보안 기업 텐센트시큐리티가 밝혔다. 공격에 사용된 악성코드 이름은 ‘MrbMiner’로 불린다.
이 MrbMiner 변종 악성코드는 C2 서버에서 리눅스 서버 및 ARM 기반 시스템을 공격하도록 설계된 것으로 조사됐다.
텐센트 측은 이 해커 팀은 지난 몇 달 동안 활동해 왔으며 크립토마이너를 설치하기 위해 마이크로소프트 SQL 서버(MSSQL)을 해킹했다고 전했다.
이어, 해커는 SQL 서버의 취약한 비밀번호를 뚫고 침입했으며 MSSQL 서버 수천 대를 공격하기 위해 봇넷을 사용했고, 이후 타깃 시스템에 C#로 작성된 트로이목마인 assm.exe를 드롭한 후 모네로 마이닝 트로이
목마를 다운로드 및 실행했다고 설명했다.
텐센트 연구원들은 MSSQL 서버를 노린 공격으로 파악했지만, 리눅스 버전을 분석한 결과 모네로를 저장한 모네로 지갑이 발견돼 리눅스 버전 또한 이 캠페인에 사용된 것으로 보고 있다.
텐센트 연구원들은 이 공격 캠페인을 식별할 수 있는 침해 지표를 공개했다. MSSQL 서버에 Default/@fg125kjnhn987 계정이 존재하는지 확인하는 것을 권고했다.
★정보보안 대표 미디어 데일리시큐!★
■ 보안 사건사고 제보 하기
★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★
저작권자 © 데일리시큐 무단전재 및 재배포 금지