상세 컨텐츠

본문 제목

EternalRomance 익스플로잇을 통해 배포 되는 PyRoMineIoT, 이란과 사우디 아라비아의 IoT 기기들 노려

국내외 보안동향

by 알약(Alyac) 2018. 6. 14. 14:18

본문

PyRoMineIoT spreads via EternalRomance exploit and targets targets IoT devices in Iran and Saudi Arabia


연구원들이 확산을 위해 NSA와 관련 된 EternalRomance 익스플로잇을 악용하는 새로운 가상화폐 채굴 변종인 PyRoMineIoT를 발견했습니다.


PyRoMineIoT는 몇 주 전 발견 된 PyRoMine이라는 가상화폐 채굴기와 꽤 유사합니다. 이는 4월달에 감염이 급증 하였고, 대부분이 가포르, 인도, 대만, 코트 디부 아르, 호주에서 발견 되었습니다.


연구원들에 따르면, 구 버전의 채굴기는 난독화 기능을 추가해 더욱 개선되었습니다. 최신 PyRoMine은 동일한 IP주소인 212[.]83.190[.]122에서 호스팅 되었으며, 양쪽 모두 Exploit Database 웹사이트에 있는 EternalRomance 구현을 활용합니다.


PyRoMineIoT는 웹 브라우저의 보안 업데이트로 위장한 웹사이트를 통해 배포 됩니다.


PyRoMineIoT 악성코드가 기기를 손상 시키면, 이는 PyRoMine 변종이 사용하는 것과 동일한 기능을 가진 난독화 된 VBScript를 다운로드 할 것입니다. 하지만 이 코드는 잘 정리된 것으로 보여집니다.


VBScript는 또 다른 컴포넌트인 모네로 채굴기(XMRig)를 다운로드 합니다. 이는 이전 변종과는 확연히 다릅니다. 이는 파일 이름을 랜덤으로 사용합니다.


두 변종 모두 디폴트 계정 및 패스워드 ‘P@ssw0rdf0rme’를 설정하고, “Administrators,” “Remote Desktop Users,” “Users” 로컬 그룹에 계정을 추가하고 RDP를 활성화 후 트래픽에서 port 3389를 허용하는 방화벽 룰을 추가합니다.


일단 기기가 해킹 되면, PyRoMineIoT는 PyRoMine 변종이 설치 된 경우 이를 삭제하려고 시도합니다.


이 악성코드의 배후에 있는 공격자들이 사용하는 pool 주소들 중 하나를 분석해본 결과, 그들은 5 모네로(약 $850 상당)을 벌어들인 것으로 나타났습니다.



공격 체인


피해자는 C#으로 작성 된 다운로더를 포함한 .zip 악성파일을 다운로드 합니다. 이는 다운로더 및 기타 악성 컴포넌트를 배포하기 위해 EternalRomance를 악용하는 파이썬 기반의 악성코드입니다. 


또 다른 컴포넌트는 크롬 브라우저에서 사용자 크리덴셜을 훔치는 ChromePass라는 툴입니다. 그리고 또 다른 컴포넌트 하나는 “admin/admin” 계정/패스워드를 사용하는 이란과 사우디아라비아의 취약한 IoT 기기들을 찾습니다.


<이미지: https://www.fortinet.com/blog/threat-research/pyromineiot--nsa-exploit--monero-xmr--miner----iot-device-scanne.html>


EternalRomance 구현은 로컬 서브넷의 IP를 수집하고, 타겟 기기에 로그인 하기 위해 사용자 계정명 ‘aa’와 공백 암호를 사용합니다.


<출처: https://www.fortinet.com/blog/threat-research/pyromineiot--nsa-exploit--monero-xmr--miner----iot-device-scanne.html>


또 다른 컴포넌트인 ChromePass 소프트웨어는 합법적이며, 크롬의 크리덴셜들을 볼 수 있습니다.


일단 악성코드가 크리덴셜을 수집 하면, 이들을 XML 포맷으로 저장 후 DriveHQ의 클라우드 스토리지 서비스의 계정에 파일을 업로드 합니다.


PyRoMineIoT는 취약한 IoT 기기를 검색하지만, 이번에는 이란과 사우디아라비아의 기기들만을 노립니다.


연구원들은 “악성코드의 제작자들은 가상화폐 채굴과 IoT 생태계 위협에 큰 관심을 보이고 있는 것으로 추정됩니다. 이러한 추세는 공격자들이 취약한 장비들 및 기기들을 공격해 쉽게 돈을 벌 수 있는 기회가 있는 한 지속 될 것으로 보입니다.”고 결론 지었습니다.


현재 알약에서는 해당 악성코드들에 대해 Exploit.Python.Agent, Trojan.Dropper.Agent, Trojan.Downloader.Agent, Misc.HackTool.WebBrowserPassView 등으로 탐지중에 있습니다. 




출처 :

https://securityaffairs.co/wordpress/73472/malware/pyromineiot-iot-miner.html

https://www.fortinet.com/blog/threat-research/pyromineiot--nsa-exploit--monero-xmr--miner----iot-device-scanne.html




관련글 더보기

댓글 영역