토르투마인
Tor2Mine은 감염된 컴퓨터의 리소스를 하이재커하고 이를 사용하여 가장 인기 있는 암호화폐 중 하나인 Monero를 채굴하는 암호화 채굴자 위협입니다. 위협이 최소 2년 동안 활성화되었으며 해당 기간 동안 개선되고 새로운 기능이 탑재되었습니다.계속해서. 연구원들이 탐지한 최신 Tor2Mine 변종은 향상된 회피 탐지 기능을 보여주고, 침해된 네트워크를 통해 자동으로 확산될 수 있으며, 감염된 장치에서 완전히 근절하기가 더 어렵습니다.
새로운 변종은 PowerShell 스크립트를 통해 일부 맬웨어 방지 솔루션을 비활성화하고 광부의 기본 페이로드를 실행하며 Windows 관리자 자격 증명을 얻으려고 시도할 수 있습니다.동시에. Tor2Mine의 후속 동작은 위협 요소가 관리 권한을 얻었는지 여부를 기반으로 합니다.성공적으로 수집된 자격 증명을 통해:
- 암호화 채굴자가 관리 자격 증명을 가지고 있는 경우 이를 사용하여 시스템에 암호화 채굴 파일을 설치할 수 있는 권한 있는 액세스를 설정합니다. Tor2Mine은 또한 적절한 시스템을 검색하고 해당 시스템에 파일을 설치하여 네트워크를 통해 측면으로 이동하기 위해 관리자 권한을 악용합니다.
- 위협이 관리자 권한을 얻지 못하는 경우에도 광부 페이로드를 계속 실행합니다. 그러나 이 경우 광부는 예약된 작업으로 실행되는 명령을 통해 원격으로 파일 없이 시작됩니다. Tor2Mine은 손상된 시스템이 아닌 원격으로 저장됩니다.
Tor2Mine은 또한 다른 경쟁 크립토 마이너 또는 클리퍼 맬웨어의 프로세스와 작업을 종료하도록 특별히 설계된 여러 스크립트를 실행하여 네트워크를 통해 실행되는 유일한 위협임을 확인합니다. 클리퍼는 암호화폐 주소를 수집하거나 거래의 합법적인 지갑 주소를 공격자의 소유로 대체하여 돈이 통제하에 있는 계정에 도착하도록 하는 악성코드 위협입니다.
연구원들은 Tor2Mine이 네트워크에서 제거되지 않으면완전히, 그것은 개별 시스템이 이미 청소된 경우에도 계속해서 재감염될 수 있습니다.
