ProwliMaware감염된 40,000대의 컴퓨터 작업
연구원들은 교통 조작과 암호화 채광 캠페인이 금융에서 교육 및 정부에 이르기까지 모든 산업에 걸쳐 조직을 감염시킨다는 사실을 발견했다. 이번 작전은 악성 코드와 악성 코드를 전 세계 서버와 웹 사이트에 확산시키고 있으며 4만대 이상의 컴퓨터가 감염된 것으로 알려졌다.
GuardiCoreLabs팀은 악용, 암호-공격력 및 취약한 구성을 사용함으로써 공격자들이 Prowli캠페인에서 광범위한 성공을 거두었다는 사실을 발견했습니다. 널리 사용되는 웹 사이트를 호스팅 하는 CMS서버부터 HPDataProtector및 DSL모뎀을 실행하는 백업 서버에 이르기까지 다양한 플랫폼을 대상으로 하는 다목적 작업도 IoT장치를 따릅니다.
이 캠페인은 디지털 통화와 교통 방향 전환에 의존하여 이미 9,000개 이상의 기업이 희생되었다. 인터넷에서 범죄자들이 기술 지원 사기를 이용해 의심하지 않는 사용자들을 합법적인 웹 사이트로부터 멀어지게 하는 부정 행위가 유행하고 있다. 그런 다음 이들은 악성 브라우저 확장을 클릭하는 대상이 되는 가짜 사이트로 이동된다.
4월 4일에 처음 식별된 SSH(보안 쉘)공격 그룹은 명령 및 제어(C&C)서버와 통신하는 것으로 밝혀졌습니다. GuardiCore는 "공격은 모두 동일한 방식으로 작동하여 암호화 광부와 함께 r2라는 많은 공격 도구를 다운로드하기 위해 C&C서버와 통신했습니다."라고 썼습니다.
연구원들은 여러 네트워크를 통해 전 세계에서 캠페인을 추적할 수 있었고 다른 산업과 관련된 캠페인을 발견했다. "3주에 걸쳐 다양한 국가 및 조직의 180개 이상의 IP에서 매일 수십건의 공격을 포착했습니다. 이러한 공격은 공격자의 인프라를 조사하고 여러 서비스를 공격하는 광범위합니다."
재정적으로 동기를 부여 받은 공격자들은 무차별적으로 목표를 정하고 인터넷에 광범위한 서비스를 노출시키는 영역을 추적하는 것으로 보였다. "Prowli는 WordPress, Joomla!, SMB및 일부 DSL모뎀에 알려진 취약성을 이용하므로 이러한 유형의 공격을 피하기 위해 지속적인 평가 및 교정과 함께 자동 패치 기능이 매우 중요합니다."
이러한 유형의 암호 해독 공격이 증가하고 있다"고 Lacework의 수석 보안 설계자인 DanHubbard가 말했다. "공격자들은 또한 특정 고성능 GPU워크 로드 유형을 시작하기 위해 모바일 기기부터 대규모 퍼블릭 클라우드 컴퓨팅 환경의 계정을 접수하는 등 모든 것을 활용하고 있습니다."
네트워크 트래픽을 검사하면 사용자가 감염 여부를 확인하는 데 도움이 됩니다. 또한 GuardiCore는 서버에 액세스 할 수 있는 사용자와 항목을 정기적으로 검토하는 것과 마찬가지로 분할이 좋은 방법이라고 조언했습니다. "인증 정보를 변경할 수 없는 IoT기기는 이 목록을 최소한으로 유지하고 특별히 주의를 기울이십시오. 연결 상태를 모니터링하면 암호화 마이닝 풀과 통신하는 손상된 기기를 쉽게 볼 수 있습니다."
출처 : infosecurity-magazine.com
