AhnLab SEcurity intelligence Center(ASEC)では、韓国国内の脆弱なサーバーを対象に攻撃する事例を確認している。この記事では、最近「z0Miner」攻撃者が韓国国内の WebLogic サーバーを対象に攻撃した事例を紹介する。
z0Miner 攻撃者は中国の Tencent Security で初めて紹介された。
彼らは、以前から韓国国内外の脆弱なサーバー(Atlassian Confluence、Apache ActiveMQ、Log4Jなど)を対象としてマイナーを配布した履歴があり、ASEC を通して頻繁に言及された。
また、この攻撃者は CVE-2020-14882/CVE-2020-14883 脆弱性を使用して WebLogic サーバーを攻撃したことでよく知られている。
2024年の1月26日、「z0Miner 攻撃者」が韓国国内の WebLogic サーバーシステムを対象にマルウェアを配布した事例が確認された。彼らは、対象システムの OS が Windows の時は powershell.exe と certutil.exe を使用し、Linux の時には curl コマンドを通して不正なファイルをダウンロードした。
今回確認された事例には、下記のような海外のケースとは異なる大きな違いが存在する。
1) 韓国国内の脆弱な Web サーバーを掌握し、攻撃者のダウンロードサーバーとして悪用 2) FRP、NetCat、AnyDesk など、ネットワークツールを使用した状況確認 |
1. 悪用された韓国国内の Web サーバー
彼らは、以下のように正常に使用される Web サーバーを掌握した後、マルウェア(Miner およびネットワークツール、攻撃に必要なスクリプトなど)を配布するダウンロードサーバーとして悪用した。現在まで確認されている韓国国内のサーバーは以下の通りである。
攻撃者に悪用されたサーバーはすべて、サーバー情報(Apache-Coyote/1.1)が露出しており、特定バージョンを推測することができた。また、特定サーバーの場合、管理されていないため、Tomcat の具体的なバージョン(Apache Tomcat/5.0.28)も確認できた。
2. Windows 対象の攻撃
2.1. WebShell
攻撃者は CVE-2020-14882 のような WebLogic 脆弱性を利用して JSP Web シェル(WebShell)をアップロードしたと確認された。システムに Web シェルがインストールされると、持続性を維持することができ、システムを操作できるようになる。また、攻撃者は3つの Web シェル(JSP File Browser、Shack2、Behinder)を使用した。これは、アンチウィルスに検知されない Web シェルをアップロードするために数種類を使用したものと推定される。
1) JSP FILE BROWSER (ZUBIN WEBSHELL)
攻撃者はカスタマイズされた JSP File Browser v1.2 Web シェルを使用した。この Web シェルは、Title を「Zubin – Welcome」と設定しており、Password は「zubin@666」、製作者の部分はカスタムした人の名前に変更した。このような付加的な部分以外には従来の Web シェルと大差ない。
- private String _password = “zubin@666”;
2) SHACK2
この Web シェルは Shack2 が製作したもので、類似したコードは Github で確認することができる。攻撃者が使用したバージョンは、「V1.0-20141106」である。 海外のセキュリティ会社である「IronNet」でも、z0Miner の配布時にこの Web シェルを確認した事例が存在する。
少し変わっている点は IronNet 社で言及した内容のように、現在も Web シェルの機能9つの中で、3つの機能だけが具現されているという点である。使用できる機能は OS 情報などのコンピューター情報の出力、ファイルマネージャー、コマンド実行の3つである。
3) BEHINDER
この Web シェルは GodZilla、China Chopper のように以前から使用され、よく知られている Web シェルである。攻撃者は Github ソースと同じ Web シェルを使用した。
2.2. FRP(Fast Reverse Proxy)
攻撃者は RDP(Remote Desktop Protocol)通信のため、Proxy ツールを使用した。使用したツールは FRP(Fast Reverse Proxy)で、過去の ASEC ブログで何度か紹介したことがある。
- 韓国国内の企業をターゲットにした FRP(Fast Reverse Proxy)を使用する攻撃グループ
- Dalbit、m00nlight: 中国ハッカーグループの APT 攻撃キャンペーン(韓国語にて提供)
z0Miner 攻撃者は、基本的な形態の Frpc と、直接カスタマイズした形態の両方を使用した。基本的な Frpc は、*.INI 形態の設定ファイルを読み込み、接続を試みるが、カスタムされた Frpc はプログラム内部に設定データを持っているため、別途のファイルなしに実行することができる。このように Frpc をカスタムして配布する方式は、他の脅威グループの事例でも確認されたことがある。
下記は現在までに確保した攻撃者の FRP サーバーとポートである。
15.235.22[.]212:5690 15.235.22[.]213:59240 |
2.3. Netcat
Netcat は、ネットワーク接続時にデータを読み書きできるユーティリティツールで、過去の侵害事故でも多く確認された。特に、ファイアウォールを回避して攻撃対象システムに対する制御権を獲得できる遠隔シェル(Remote Shell)機能を提供するため、攻撃者がよく使用する。
この攻撃者は userinit.exe という名前の Netcat をダウンロードして下記のように実行した。
このコマンドの意味は、与えられた IP とポートに接続を試み、接続時にコマンドプロンプト(CMD)を実行しろという意味で、リバースシェル(Reverse Shell)コマンドである。この後、攻撃者はコマンドプロンプトを通してシステムを操作できるようになる。
107.180.100[.]247:88 |
2.4. AnyDesk
Netcat をインストールした後、追加で AnyDesk をインストールした事例は Apache ActiveMQ 脆弱性(CVE-2023-46604)の事例でも確認された。
攻撃者は、ダウンロードサーバー(侵害された Web サーバー)を通して PowerShell スクリプトを読み込んだ後、公式ホームページに接続して AnyDesk をダウンロードした。
2.5. Miner(XMRig)
現在、攻撃者が配布している Windows XMRig のバージョンは6.18.0バージョンであり、Linux の場合、XMRig 6.18.1 バージョンと確認された。
攻撃者は、持続性のために WMI のイベントフィルタ(Event Filter)とコンシューマー(Consumer)を登録したり、スケジューラ(schtasks)を登録して pastebin.com の特定のアドレスから PowerShell スクリプトを読み込んできて実行するようにした。しかし、解析当時に PowerShell スクリプトは存在しなかった。
この後、「javae.exe」という名前で採掘を実行する。
3. Monero Wallet & Mining Pool Address
攻撃者が使用している config.json は以下の通りである。
Mining Pool : pool.supportxmr[.]com:443 pool.supportxmr[.]com:80Monero Wallet : 44VkCrG7DkmYCcrNQcBb1QfZ66si2xWqy7HuzgyWLXKy8x3pkzKWxs8TptTNjCS1b2Abm89MuXD1tg81KeRgfP2u3z6f2kP 47y69G6VzipF8ydhXxzRF69e8ys3XrDFjD5SqSM1T8yJGdfHqtRmMA9eQpq8vnWBibhmb35xLAyVpen53hfidLwHDP3NbAm |
5. 結論
攻撃者は、パッチされていない脆弱な WebLogic サーバーを対象に攻撃を続けている。また、感染システムを掌握した後、情報を窃取したり、ランサムウェアのインストールが可能なため、管理されていないポートやサーバーのチェックが必要である。また、システム管理者は使用している WebLogic サービスが最新バージョンかをチェックし、低バージョンの場合はパッチを適用して既知の脆弱性による攻撃を防止しなければならない。
ユーザーは、V3 を最新バージョンにアップデートしてマルウェアへの感染を事前に遮断できるように注意を払う必要がある。
ファイル検知
– HackTool/Win.Netcat (2022.10.18.03)
– Win-Trojan/Miner3.Exp (2022.06.24.02)
– Downloader/Shell.Miner.SC197168 (2024.02.27.01)
– Data/JSON.Miner (2024.02.27.01)
– Data/JSON.Miner (2024.02.27.01)
– Trojan/PowerShell.Miner (2024.02.27.01)
– Trojan/Script.z0Miner.SC197169 (2024.02.27.01)
– Trojan/Win.FRP (2024.02.27.01)
– Trojan/Shell.Miner.SC197170 (2024.02.27.01)
– Trojan/Shell.Miner.SC197171 (2024.02.27.01)
– Trojan/Shell.Agent.SC197172 (2024.02.27.01)
– Downloader/Shell.Miner.SC197173 (2024.02.27.01)
– WebShell/JSP.Generic.S1866 (2024.02.27.00)
– Linux/CoinMiner.Gen2 (2022.11.24.02)
– WebShell/JSP.FileBrowser.SC197174 (2024.02.27.01)
– WebShell/JSP.Generic.S1957 (2024.02.27.00)
– Trojan/Shell.Agent.SC197175 (2024.02.27.03)
– Downloader/PowerShell.Miner (2024.02.27.03)
– CoinMiner/Shell.Generic.S2078 (2024.02.27.00)
– Downloader/PowerShell.Miner.SC197176 (2024.02.27.01)
IoC
MD5
– 523613a7b9dfa398cbd5ebd2dd0f4f38 : userinit.exe(Netcat)
– 2a0d26b8b02bb2d17994d2a9a38d61db : x.rar(XMRig, exe)
– 4cd78b6cc1e3d3dde3e47852056f78ad : al.txt
– 085c68576c60ca0361b9778268b0b3b9 : (config.json)
– b6aaced82b7c663a5922ce298831885a : (config.json)
– 7b2793902d106ba11d3369dff5799aa5 : cpu.ps1
– ad33f965d406c8f328bd71aff654ec4c : frpc.ini
– 7e5cc9d086c93fa1af1d3453b3c6946e : svcho.exe(frpc)
– e60d8a3f2190d78e94c7b952b72916ac : frp5.exe
– 8434de0c058abb27c928a10b3ab79ff8 : l.txt
– 90b74cdc4b7763c6b25fdcd27f26377f : l.txt
– 83e163afd5993320882452453c214932 : lcpu.txt
– a0766ad196626f28919c904d2ced6c85 : ll.txt
– 903fce58cb4bfc39786c77fe0b5d9486 : pan.rar(Shack2 WebShell)
– c2fb307aee872df475a7345d641d72da : s.rar(XMRig, ELF)
– 88d49dad824344b8d6103c96b4f81d19 : session.rar(Zubin WebShell)
– efc2a705c858ed08a76d20a8f5a11b1b : shell.rar(Behinder WebShell)
– 98e167e7c2999cbea30cc9342e944a4c : solr.sh
– 575575f5b6f9c4f7149ed6d86fb16c0f : st.ps1
– 547c02a9b01194a0fcbfef79aaa52e38 : st2.txt
– fd0fe2a3d154c412be6932e75a9a5ca1 : stt.txt
C&C アドレス
(다운로드 서버로 악용된 국내 웹 서버는 TIP 에서만 공개합니다.)
– 107.180.100[.]247:88
– 15.235.22[.]212:5690
– 15.235.22[.]213:59240
関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。
Categories:マルウェアの情報