MS-SQL 서버 노리는 공격으로부터 시작해...정찰 도구와 화폐 채굴 도구 심어
[보안뉴스 문가용 기자] 2018년 5월부터 시작된 공격 캠페인이 최근에야 발견됐다. 이 캠페인을 처음 발견한 가디코어 랩스(Guardicore Labs)는 이 공격에 볼가(Vollgar)라는 이름을 붙였다. 공격자들은 마이크로소프트 SQL 서버에 백도어와 암호화폐 채굴 코드를 지난 몇 년 동안 심어왔다고 한다.
[이미지 = iclickart]
현재까지 피해를 입은 것으로 집계된 산업은 의료, 항공, IT, 원거리 통신, 고등교육 기관이었다. 공격의 원천이 되는 IP 주소는 120개가 넘는데, 대부분은 중국에 있는 것으로 나타났다. 하지만 가디코어 측은 “이 주소들 역시 2차 공격을 위한 발판으로서 사전에 침해된 시스템에서 나온 것으로 보인다”고 설명했다.
피해자들은 대부분 중국, 인도, 미국, 한국, 터키에 분포되어 있었다. 침해된 시스템은 대체적으로(60%) 빠르게 복구가 됐지만, 20%는 1주일 넘게 침해된 상태로 유지되었으며, 10% 정도는 복구 후에 다시 감염됐다고 가디코어는 말했다.
“공격자들은 MS-SQL에 로그인 하기 위해 브루트포스 공격을 감행했습니다. 그 다음 명령 실행을 위해 설정 사항을 몇 가지 조정하고, cmd.exe와 ftp.exe 등과 같은 명령어에 대한 권한을 확보했습니다. 이를 통해 멀웨어를 추가로 다운로드 하면서 1차 공격은 끝이 났습니다.”
그 다음 공격자들은 뒷구멍으로 관리자 권한을 가진 사용자들을 여럿 등록했다. 전부 OS 층위에서 등록됐으며, MS-SQL 데이터베이스 컨텍스트에서 이뤄졌다. 그런 상태에서 다른 공격자들의 흔적이 발견되면 전부 삭제하기 시작했다.
공격자들은 세 가지 다운로더 스크립트를 사용했는데, 하나는 FTP 기능을 사용하는 것이고, 두 개는 HTTP를 활용하는 것이었다. “세 개 다운로더 전부 여러 번 실행이 됩니다. 실행될 때마다 표적이 되는 위치가 달라집니다. 공격자가 꽤나 꼼꼼한 성격인 것으로 보입니다. 보통은 목표가 되는 곳만 곧장 겨누거든요.”
그런 후 공격자들은 다양한 페이로드들을 피해자 시스템에 심었는데, 여기에는 각종 RAT 모듈들과 XM리그(XMRig) 기반의 암호화폐 채굴 코드 등이 포함되어 있었다. 따라서 주로 모네로라는 암호화폐가 표적인 것으로 보이는데, 그 외에 VDS나 볼라(Vollar)라는 대안화폐도 수거 대상인 것으로 나타났다.
볼가의 주력 C&C 서버는 중국에 있는 것으로 나타났다. 이 서버는 여러 공격 단체들의 침해를 받은 것으로 보이며, 무려 십여 개의 백도어들이 호스팅 되어 있었다. 파일 시스템 열람, 레지스트리 조작, 파일 다운로드 및 업로드 등에 사용되는 백도어들이었다.
또한 볼가 공격자들의 모든 공격 인프라 역시 이 침해된 시스템에 포함되어 있었다. 공격 인프라는 1) IP 스캐닝 툴, 2) 브루트포스 도구, 3) 원격 명령 실행 도구로 구성되어 있었다. 일부 사용자 인터페이스는 중국어로 만들어져 있기도 했다. C&C를 통해 공격자들은 원격에서 파일 다운로드, 새 윈도우 서비스 설치, 키로깅, 화면 캡쳐, 카메라 활성화, 마이크로폰 활성화, 셸 실행, 디도스 공격 등을 할 수 있는 것으로 나타났다.
볼가 공격자들은 도메인 이름과 ‘페이퍼 컴퍼니’들을 악용해 악성 페이로드를 호스팅하고 있는 것으로 나타났다. 여기에 더해 무료 인터넷 서비스도 활용되고 있었다. 볼가 캠페인에 당한 시스템들은 공공 IP, 위치 정보, OS 버전, 컴퓨터 이름, CPU 모델과 같은 정보들을 C&C로 전송했다. 여기에 더해 암호화폐 채굴에 필요한 명령행 두 개도 전송됐다.
보다 상세한 내용은 여기(https://www.guardicore.com/2020/04/vollgar-ms-sql-servers-under-attack/)서 열람이 가능하다.
3줄 요약
1. 2018년 5월부터 시작된 것으로 보이는 공격 캠페인, 이제야 발견됨.
2. 주요 피해국은 중국, 인도, 미국, 한국. 공격 근원지는 아직 확실치 않으나 중국일 가능성 높음.
3. 각종 정보 수집 도구들과 암호화폐 채굴 코드가 피해 시스템에 심기고 있음.
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>