ASEC
  • マルウェアの情報
  • AhnLab 検知
  • 総計
  • 対応ガイド
  • AhnLab
Posted By ATCP , 2024년 03월 06일

z0Miner 攻撃者、韓国国内 Web サーバーを悪用して WebLogic サーバー攻撃

AhnLab SEcurity intelligence Center(ASEC)では、韓国国内の脆弱なサーバーを対象に攻撃する事例を確認している。この記事では、最近「z0Miner」攻撃者が韓国国内の WebLogic サーバーを対象に攻撃した事例を紹介する。

z0Miner 攻撃者は中国の Tencent Security で初めて紹介された。

z0Miner挖矿木马利用Weblogic最新漏洞入侵,腾讯主机安全(云镜)极速捕捉
腾讯主机安全(云镜)于2020.11.02日捕获到挖矿木马团伙z0Miner利用Weblogic未授权命令执行漏洞(CVE-2020-14882/14883)的攻击行动。该团伙通过批量扫描云服务器发现具有Weblogic漏洞的机器,发送精心构造的数据包进行攻击。

彼らは、以前から韓国国内外の脆弱なサーバー(Atlassian Confluence、Apache ActiveMQ、Log4Jなど)を対象としてマイナーを配布した履歴があり、ASEC を通して頻繁に言及された。

脆弱な Atlassian Confluence サーバーをターゲットにした攻撃事例

継続的に攻撃対象となっている Apache ActiveMQ 脆弱性(CVE-2023-46604)

また、この攻撃者は CVE-2020-14882/CVE-2020-14883 脆弱性を使用して WebLogic サーバーを攻撃したことでよく知られている。

2024年の1月26日、「z0Miner 攻撃者」が韓国国内の WebLogic サーバーシステムを対象にマルウェアを配布した事例が確認された。彼らは、対象システムの OS が Windows の時は powershell.exe と certutil.exe を使用し、Linux の時には curl コマンドを通して不正なファイルをダウンロードした。

今回確認された事例には、下記のような海外のケースとは異なる大きな違いが存在する。

1) 韓国国内の脆弱な Web サーバーを掌握し、攻撃者のダウンロードサーバーとして悪用
2) FRP、NetCat、AnyDesk など、ネットワークツールを使用した状況確認

1. 悪用された韓国国内の Web サーバー

彼らは、以下のように正常に使用される Web サーバーを掌握した後、マルウェア(Miner およびネットワークツール、攻撃に必要なスクリプトなど)を配布するダウンロードサーバーとして悪用した。現在まで確認されている韓国国内のサーバーは以下の通りである。

[그림 1] 국내 악용된 웹서버
図1. 悪用された韓国国内の Web サーバー

攻撃者に悪用されたサーバーはすべて、サーバー情報(Apache-Coyote/1.1)が露出しており、特定バージョンを推測することができた。また、特定サーバーの場合、管理されていないため、Tomcat の具体的なバージョン(Apache Tomcat/5.0.28)も確認できた。

図2. Web サーバーの応答ヘッダー(Apache-Coyote/1.1)

2. Windows 対象の攻撃

2.1. WebShell

攻撃者は CVE-2020-14882 のような WebLogic 脆弱性を利用して JSP Web シェル(WebShell)をアップロードしたと確認された。システムに Web シェルがインストールされると、持続性を維持することができ、システムを操作できるようになる。また、攻撃者は3つの Web シェル(JSP File Browser、Shack2、Behinder)を使用した。これは、アンチウィルスに検知されない Web シェルをアップロードするために数種類を使用したものと推定される。

図3. Web シェルのアップロードログ(引用元:当社 ASD サービス)
1) JSP FILE BROWSER (ZUBIN WEBSHELL)
図4. 攻撃者が使用した Web シェル(1)

攻撃者はカスタマイズされた JSP File Browser v1.2 Web シェルを使用した。この Web シェルは、Title を「Zubin – Welcome」と設定しており、Password は「zubin@666」、製作者の部分はカスタムした人の名前に変更した。このような付加的な部分以外には従来の Web シェルと大差ない。

図5. カスタマイズされた Web シェル(Zubin)
  • private String _password = “zubin@666”;
2) SHACK2

この Web シェルは Shack2 が製作したもので、類似したコードは Github で確認することができる。攻撃者が使用したバージョンは、「V1.0-20141106」である。 海外のセキュリティ会社である「IronNet」でも、z0Miner の配布時にこの Web シェルを確認した事例が存在する。

Continued Exploitation of CVE-2021-26084
Continued Exploitation of CVE-2021-26084.
図6. 攻撃者が使用した Web シェル(2)

少し変わっている点は IronNet 社で言及した内容のように、現在も Web シェルの機能9つの中で、3つの機能だけが具現されているという点である。使用できる機能は OS 情報などのコンピューター情報の出力、ファイルマネージャー、コマンド実行の3つである。

図7. Shack2 Web シェルの3つの機能
3) BEHINDER
図8. 攻撃者が使用した Web シェル(3)

この Web シェルは GodZilla、China Chopper のように以前から使用され、よく知られている Web シェルである。攻撃者は Github ソースと同じ Web シェルを使用した。

2.2. FRP(Fast Reverse Proxy)

攻撃者は RDP(Remote Desktop Protocol)通信のため、Proxy ツールを使用した。使用したツールは FRP(Fast Reverse Proxy)で、過去の ASEC ブログで何度か紹介したことがある。

  • 韓国国内の企業をターゲットにした FRP(Fast Reverse Proxy)を使用する攻撃グループ
  • Dalbit、m00nlight: 中国ハッカーグループの APT 攻撃キャンペーン(韓国語にて提供)

z0Miner 攻撃者は、基本的な形態の Frpc と、直接カスタマイズした形態の両方を使用した。基本的な Frpc は、*.INI 形態の設定ファイルを読み込み、接続を試みるが、カスタムされた Frpc はプログラム内部に設定データを持っているため、別途のファイルなしに実行することができる。このように Frpc をカスタムして配布する方式は、他の脅威グループの事例でも確認されたことがある。

  • 韓国国内とタイを対象とする APT 攻撃に使用された BlueShell マルウェア
図9. Frpc(svcho.exe) Download ログ

下記は現在までに確保した攻撃者の FRP サーバーとポートである。

図10. Frpc 設定データ
15.235.22[.]212:5690
15.235.22[.]213:59240
z0Miner 攻撃者の Frpc Server & Port

2.3. Netcat

Netcat は、ネットワーク接続時にデータを読み書きできるユーティリティツールで、過去の侵害事故でも多く確認された。特に、ファイアウォールを回避して攻撃対象システムに対する制御権を獲得できる遠隔シェル(Remote Shell)機能を提供するため、攻撃者がよく使用する。

この攻撃者は userinit.exe という名前の Netcat をダウンロードして下記のように実行した。

図11. Netcat のリバースシェル(Reverse Shell)コマンドログ

このコマンドの意味は、与えられた IP とポートに接続を試み、接続時にコマンドプロンプト(CMD)を実行しろという意味で、リバースシェル(Reverse Shell)コマンドである。この後、攻撃者はコマンドプロンプトを通してシステムを操作できるようになる。

107.180.100[.]247:88
z0Miner 攻撃者の Netcat Server & Port

2.4. AnyDesk

Netcat をインストールした後、追加で AnyDesk をインストールした事例は Apache ActiveMQ 脆弱性(CVE-2023-46604)の事例でも確認された。

  • 継続的に攻撃対象となっている Apache ActiveMQ 脆弱性(CVE-2023-46604)

攻撃者は、ダウンロードサーバー(侵害された Web サーバー)を通して PowerShell スクリプトを読み込んだ後、公式ホームページに接続して AnyDesk をダウンロードした。

図12. Powershell(wshell.exe) をによる AnyDesk インストールログ
図13. 過去の事例で確認された AnyDesk インストール PowerShell コード

 

2.5. Miner(XMRig)

現在、攻撃者が配布している Windows XMRig のバージョンは6.18.0バージョンであり、Linux の場合、XMRig 6.18.1 バージョンと確認された。

図14. XMRig バージョン(6.18.0、Windows 対象)

攻撃者は、持続性のために WMI のイベントフィルタ(Event Filter)とコンシューマー(Consumer)を登録したり、スケジューラ(schtasks)を登録して pastebin.com の特定のアドレスから PowerShell スクリプトを読み込んできて実行するようにした。しかし、解析当時に PowerShell スクリプトは存在しなかった。

図15. 持続性のための WMI イベントフィルタ(Event Filter)とコンシューマー(Consumer)

この後、「javae.exe」という名前で採掘を実行する。

図16. Miner をダウンロードする PowerShell コード

3. Monero Wallet & Mining Pool Address

攻撃者が使用している config.json は以下の通りである。

図17. 攻撃者の config.json(ウォレットアドレスとマイニングプールアドレス)
Mining Pool :
pool.supportxmr[.]com:443
pool.supportxmr[.]com:80Monero Wallet : 44VkCrG7DkmYCcrNQcBb1QfZ66si2xWqy7HuzgyWLXKy8x3pkzKWxs8TptTNjCS1b2Abm89MuXD1tg81KeRgfP2u3z6f2kP
47y69G6VzipF8ydhXxzRF69e8ys3XrDFjD5SqSM1T8yJGdfHqtRmMA9eQpq8vnWBibhmb35xLAyVpen53hfidLwHDP3NbAm
z0Miner 攻撃者の Monero Wallet & Mining Pool Address

5. 結論

攻撃者は、パッチされていない脆弱な WebLogic サーバーを対象に攻撃を続けている。また、感染システムを掌握した後、情報を窃取したり、ランサムウェアのインストールが可能なため、管理されていないポートやサーバーのチェックが必要である。また、システム管理者は使用している WebLogic サービスが最新バージョンかをチェックし、低バージョンの場合はパッチを適用して既知の脆弱性による攻撃を防止しなければならない。

ユーザーは、V3 を最新バージョンにアップデートしてマルウェアへの感染を事前に遮断できるように注意を払う必要がある。

ファイル検知
– HackTool/Win.Netcat (2022.10.18.03)
– Win-Trojan/Miner3.Exp (2022.06.24.02)
– Downloader/Shell.Miner.SC197168 (2024.02.27.01)
– Data/JSON.Miner (2024.02.27.01)
– Data/JSON.Miner (2024.02.27.01)
– Trojan/PowerShell.Miner (2024.02.27.01)
– Trojan/Script.z0Miner.SC197169 (2024.02.27.01)
– Trojan/Win.FRP (2024.02.27.01)
– Trojan/Shell.Miner.SC197170 (2024.02.27.01)
– Trojan/Shell.Miner.SC197171 (2024.02.27.01)
– Trojan/Shell.Agent.SC197172 (2024.02.27.01)
– Downloader/Shell.Miner.SC197173 (2024.02.27.01)
– WebShell/JSP.Generic.S1866 (2024.02.27.00)
– Linux/CoinMiner.Gen2 (2022.11.24.02)
– WebShell/JSP.FileBrowser.SC197174 (2024.02.27.01)
– WebShell/JSP.Generic.S1957 (2024.02.27.00)
– Trojan/Shell.Agent.SC197175 (2024.02.27.03)
– Downloader/PowerShell.Miner (2024.02.27.03)
– CoinMiner/Shell.Generic.S2078 (2024.02.27.00)
– Downloader/PowerShell.Miner.SC197176 (2024.02.27.01)

IoC
MD5
– 523613a7b9dfa398cbd5ebd2dd0f4f38 : userinit.exe(Netcat)
– 2a0d26b8b02bb2d17994d2a9a38d61db : x.rar(XMRig, exe)
– 4cd78b6cc1e3d3dde3e47852056f78ad : al.txt
– 085c68576c60ca0361b9778268b0b3b9 : (config.json)
– b6aaced82b7c663a5922ce298831885a : (config.json)
– 7b2793902d106ba11d3369dff5799aa5 : cpu.ps1
– ad33f965d406c8f328bd71aff654ec4c : frpc.ini
– 7e5cc9d086c93fa1af1d3453b3c6946e : svcho.exe(frpc)
– e60d8a3f2190d78e94c7b952b72916ac : frp5.exe
– 8434de0c058abb27c928a10b3ab79ff8 : l.txt
– 90b74cdc4b7763c6b25fdcd27f26377f : l.txt
– 83e163afd5993320882452453c214932 : lcpu.txt
– a0766ad196626f28919c904d2ced6c85 : ll.txt
– 903fce58cb4bfc39786c77fe0b5d9486 : pan.rar(Shack2 WebShell)
– c2fb307aee872df475a7345d641d72da : s.rar(XMRig, ELF)
– 88d49dad824344b8d6103c96b4f81d19 : session.rar(Zubin WebShell)
– efc2a705c858ed08a76d20a8f5a11b1b : shell.rar(Behinder WebShell)
– 98e167e7c2999cbea30cc9342e944a4c : solr.sh
– 575575f5b6f9c4f7149ed6d86fb16c0f : st.ps1
– 547c02a9b01194a0fcbfef79aaa52e38 : st2.txt
– fd0fe2a3d154c412be6932e75a9a5ca1 : stt.txt

C&C アドレス
(다운로드 서버로 악용된 국내 웹 서버는 TIP 에서만 공개합니다.)
– 107.180.100[.]247:88
– 15.235.22[.]212:5690
– 15.235.22[.]213:59240

関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。

Categories: マルウェアの情報

Tagged as: AnyDesk, Behinder, FRP, JSP File Browser, miner, MONERO, Netcat, shack2, WebLogic, WEBSERVER, WebShell, XMRig, z0miner, zubin

aNotepad を悪用する WogRAT マルウェア(Windows、Linux)
Notion インストーラーに偽装した MSIX マルウェアの拡散

Archives

  • Facebook
  • RSS Feed
follow us in feedly
 

Loading Comments...