팔로알토네트웍스 유닛42 연구원들에 따르면, 'TeamTNT' 해킹그룹이 크립토마이닝 웜 악성코드의 성능을 강화해 공격을 하고 있다며 각별한 주의를 당부했다.

공격자들은 악성코드에 비밀번호 탈취 및 네트워크 스캔 기능을 추가해 다른 취약한 기기로 더욱 쉽게 확산되도록 한 것으로 조사됐다.

또 해킹된 기기에서 무단으로 모네로를 채굴하기 위해 Docker 인스턴스를 노리는 것으로 알려져 있고, 더불어 사용자의 자격 증명 또한 수집하도록 업그레이드되었다.

또한 유닛42 연구원들은, 이번에는 mimipy(윈도우, 리눅스, macOS 지원) 및 mimipenguin(리눅스 지원)을 통한 메모리 비밀번호 수집 기능, NIX 데스크톱을 노리는 오픈 소스 Mimikatz 2개를 추가했다고 밝혔다.

이 웜은 ‘Black-T’로 불리며, 해킹된 시스템 내 메모리에서 발견한 모든 평문 비밀번호를 수집해 TeamTNT의 C2 서버로 전송하는 것으로 나타났다. 그리고 Black-T 크립토마이닝 웜에 zgrab GoLang 네트워크 스캐너 또한 추가했다.

Black-T에서 사용된 Masscan 스캐너는 5555 TCP 포트를 노리도록 업데이트 되었다. 이는 안드로이드 기기를 타깃으로 하는 것으로 유닛2 연구원들은 추측하고 있다.

유닛42 연구원들은 “Black-T 크립토재킹 웜의 최신 변종은 감염된 시스템에서 AWS CLI 자격 증명 및 구성 정보를 저장하는데 사용하는 암호화되지 않은 파일을 스캔하고, NIX Mimikatx를 통해 메모리에서 평문 비밀번호를 수집할 것”이라고 경고했다.

---

[하반기 최대 공공·금융·기업 정보보안&개인정보보호 컨퍼런스 PASCON 2020 개최]

-날짜: 2020년 11월 10일 화요일

-장소: 서울 양재동 더케이호텔서울 2층 가야금홀

-대상: 공공, 금융, 기업 정보보안 및 개인정보보호 실무자

(이외 보안실무와 관련 없는 등록자는 참석이 제한 될 수 있습니다.)

-교육이수: 공무원, 기업 보안의무교육 7시간 인정. CPPG, CISSP 등 교육인정

-전시회: 국내외 최신 보안솔루션 트랜드를 한 눈에

-사전등록: 클릭

-참가기업 모집중: mkgil@dailysecu.com으로 문의

★정보보안 대표 미디어 데일리시큐!★