Mass exploitation campaign hit 4,000+ ISP networks to deploy info stealers and crypto miners
Mass exploitation campaign hit 4,000+ ISP networks to deploy info stealers and crypto miners
A massive attack targets ISPs in China and the U.S. West Coast to deploy info stealers and crypto miners on compromised systems.
securityaffairs.com
- 공격 개요
- 공격자는 중국 및 미국 서부 해안의 인터넷 서비스 제공업체(ISP)를 집중 타깃으로 설정
- 동유럽 기반 위협 그룹이 약 4,000개 이상의 ISP 시스템을 대상으로 인증정보 무차별 대입 공격 수행
- 초기 침투 후 인포스틸러(info stealer) 및 암호화폐 채굴기(crypto miner)를 설치해 시스템 리소스를 탈취
- 공격 방식 및 침투 단계
- 약한 인증정보를 대상으로 하는 브루트포스 공격을 통해 시스템 접근 권한 확보
- PowerShell을 활용해 바이너리 파일을 “Migration” 폴더에 드롭한 뒤 실행
- 실행 전 보안 솔루션 기능 비활성화 및 크립토 마이너 탐지 서비스 종료 수행
- 공격자는
masscan.exe를 사용해 내부 네트워크 스캐닝을 통해 피벗 공격도 시도
- 악성 페이로드 기능
- 인포스틸러 기능으로 자격 증명, 암호화폐 지갑 주소(클립보드 감시), 시스템 스크린샷 탈취
- 탈취 정보는 텔레그램 API 기반 봇을 통해 C2 서버로 전송
- 크립토 마이너는 Monero(XMR) 채굴을 주 목적으로 하며, 시스템 자원 최대 활용을 위해 방어 기능 제거
- SSH 기반 C2 연결을 사용하여 장기적인 통제 유지
- 지속성 확보 및 은폐 전략
- 원격 액세스(Remote Access)를 비활성화하여 탐지 및 차단 방해
- Python 컴파일 실행 파일 및 PowerShell 스크립트를 통해 흔적 최소화 및 방어 우회
- WINRM 서비스 및 스크립팅 언어 기반으로 조작 수행, 고급 침해 지표 남기지 않음
- 공격자는 침투 이후 "최소 개입(minimal intrusion)" 전략 유지하여 장기간 은닉 운영
- 주요 IOC 및 침해 범위
- PowerShell 스크립트 내에 4,000개 이상 대상 IP 및 패스워드 포함된 텍스트 파일 확인
- 주요 타깃은 중국 및 미국 서부 ISP 인프라
- 감염 시스템에서
x64.exe실행 흔적 및 텔레그램 기반 C2 통신 확인됨
- 결론
- 본 공격은 대규모 인증정보 기반 침투와 자동화된 파워쉘/Python 기반 페이로드 전개가 특징
- 인포스틸러와 크립토 마이너 결합 형태로 금전적 목적과 정보 탈취를 동시에 추구
- 최소 침투, 원격 접속 차단, 탐지 회피 전략으로 위협 탐지 난이도 상승
- ISP 및 중요 인프라 사업자는 인증 강화를 포함한 계정 보호 및 PowerShell 실행 통제 필요
'Kant's IT > Issue on IT&Security' 카테고리의 다른 글
| APT28의 고도화된 HTA 트로이목마 난독화 기법 분석 (0) | 2025.03.24 |
|---|---|
| AI 기반 인증정보 탈취(Credential Stuffing) 공격의 진화, Computer-Using Agent(CUA)의 위협 (0) | 2025.03.24 |
| DragonForce 랜섬웨어 분석 (0) | 2025.03.24 |
| Ghost (Cring) 랜섬웨어 위협 분석 보고서 (1) | 2025.03.24 |
| Microsoft, VBS Enclave 보안 강화를 위한 기술 권고사항 발표 (0) | 2025.03.24 |