Prometei 봇넷, 패치되지 않은 Microsoft Exchange 취약점을 이용하여 전파

보안 연구원들은 Prometei 봇네트의 악의적 전술에 중대한 변화가 있음을 밝혔습니다. 이제 Windows Exchange 서버에 대해 “ProxyLogon” 익스플로잇을 활용하여 타겟 네트워크에 침투하고 크립토재킹 악성코드를 사용자 기기에 배포할 수 있습니다. 주요 목표는 감염된 인스턴스의 처리 능력을 악용하여 모네로를 채굴하는 것이지만, Prometei의 광범위한 기능은 운영자가 APT 침입과 비교하여 복잡한 다양한 다른 고급 공격을 수행할 수 있게 합니다.

Prometei 봇넷 개요

Prometei는 리눅스와 윈도우즈 기기 모두를 타겟으로 할 수 있는 다단계 크립토재킹 봇넷입니다. 비록 2020년에 처음 발견되었지만, 보안 연구원들은 Prometei가 2016년에 처음 나타나 이후 비밀리에 발전하고 새로운 모듈을 추가해왔다고 믿고 있습니다. 봇넷의 주요 목표는 기기를 악의적인 네트워크에 노예화하여 모네로 코인을 채굴하는 것입니다. 이러한 목표를 달성하기 위해 Prometei 유지관리자는 Mimikatz, 자격 증명 수집, SMB 및 RDP 익스플로잇, SQL 전파기 등을 포함한 다양한 악성 도구를 적용해 성공적인 전파와 추가 감염을 이끌어 냅니다.

Prometei의 최신 버전은 은밀한 백도어로 작동할 수 있는 많은 고급 기능을 갖춘 중요한 업그레이드를 받았습니다. Cybereason의 분석에 따르면 Prometei 운영자는 이제 타겟 네트워크에서 데이터를 훔치거나, 엔드포인트에 2차 악성코드를 감염시키거나, 심지어 랜섬웨어 갱단과 제휴하여 타협된 인프라에 접근 권한을 판매할 수 있습니다.

Prometei 유지관리자에 대한 정보는 많지 않지만 보안 전문가들은 금융 동기를 가진 러시아어 사용 그룹이 이 프로젝트 뒤에 있을 수 있다고 믿고 있습니다. 이러한 가정은 봇넷이 구소련 지역 내의 사용자를 감염시키지 않는다는 사실에 의해 증명됩니다.

Microsoft Exchange 제로데이 익스플로잇

Prometei의 최신 버전은 최근 발견된 Microsoft Exchange 제로데이 익스플로잇 (CVE-2021-26858, CVE-2021-27065)로, 인증된 해커가 취약한 Exchange 서버의 어떤 경로에든 파일을 쓸 수 있게 하여 원격 코드 실행을 달성할 수 있게 합니다. Cybereason에 따르면 봇넷 운영자는 이러한 버그를 이용해 China Chopper를 설치 및 실행하고, 이를 통해 Prometei 페이로드를 악성 URL을 통해 다운로드할 수 있는 PowerShell을 더 실행합니다.

특히, 동일한 Microsoft Exchange 취약점이 2021년 3월에 중국 관련 HAFNIUM APT 그룹 및 다른 국가 지원 행위자들에 의해 현실에서 적극적으로 악용되었습니다. 비록 Prometei 유지관리자가 국가 지원 해커와의 관련이 없는 금융 동기 부여된 행위자라고 여겨지지만, 광범위한 도구셋과 늘어나는 악의적 접근 방식의 복잡성은 그들을 사이버 첩보, 데이터 절도, 악성코드 배포 측면에서 심각한 위협을 가하는 고급 위협 목록에 올려 놓습니다.

진행 중인 악성 캠페인

Cybereason에 따르면, 현재 Prometei 활동은 상당히 기회주의적이며 Microsoft Exchange를 의존하는 패치되지 않은 인스턴스를 감염시키려고 시도합니다. 대상 목록에는 미국, 남미, 유럽, 동아시아 전역의 은행업, 보험업, 소매업, 건설업에 종사하는 여러 회사가 포함됩니다.

감염 시, Prometei는 지속성을 달성하고 공격자의 서버와 명령 및 제어 (C&C) 통신을 확립하기 위해 처음 모듈 (zsvc.exe)을 실행합니다. 이 모듈은 광범위한 백도어 기능을 가지고 있으며 대상 PC에 설치된 XMRig 크립토마이너를 제어합니다. 이는 프로그램 실행, 파일 열기, 채굴 프로세스 시작 또는 중지, 파일 다운로드, 시스템 정보 수집 등 명령을 실행할 수 있습니다. 필요할 경우, 악성코드 운영자는 Prometei의 악성 능력을 강화하고 단순한 모네로 채굴을 넘어선 기능을 촉진하기 위해 더 많은 모듈을 추가할 수 있습니다.

특히, Prometei 실행은 리콘 및 감염된 장치와의 통신을 차단하기 위해 사용되는 두 가지 다른 악성 프로세스 (cmd.exe 및 wmic.exe)도 시작합니다. 이는 아마도 네트워크에 다른 채굴자가 없음을 보장하고 모든 자원이 Prometei의 서비스에 있음을 뜻하는 것으로 보입니다.

Prometei 봇넷 탐지

Prometei 봇넷 감염으로부터 회사 인프라를 보호하기 위해, 열성적인 Threat Bounty 개발자 Kyaw Pyiyt Htet: 

가 무료로 제공한 커뮤니티 Sigma 규칙을 다운로드할 수 있습니다.

규칙은 다음 플랫폼에 대한 번역을 제공합니다:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio, FireEye Helix

MITRE ATT&CK:

전술: 방어 회피, 자격 증명 액세스

기법: 자격 증명 덤핑 (T1003), 가장 (T1036)

또한, Microsoft Exchange 제로데이에 의존한 가능한 공격을 예방하기 위해 Threat Detection Marketplace에서 제공하는 맞춤형 탐지 규칙을 다운로드할 수 있습니다.

CVE-2021-26858 익스플로잇을 다루는 규칙

CVE-2021-27065 익스플로잇을 다루는 규칙

Threat Detection Marketplace에 무료로 구독하여 100K+ 탐지 알고리즘 및 CVE 및 MITRE ATT&CK® 프레임워크에 매핑된 위협 사냥 쿼리로 사이버 방어 능력을 강화하세요. 위협 사냥 기술을 상업화하고 직접 Sigma 규칙을 제작하고 싶습니까? 우리의 Threat Bounty Program에 참여하세요!

플랫폼으로 이동 Threat Bounty에 가입