Log4Shell 취약점 공격으로 코인 마이너를 설치하는 8220 Gang 공격 그룹

AhnLab Security Emergency response Center(ASEC)에서는 최근 8220 Gang 공격 그룹이 VMware Horizon 서버에 대한 Log4Shell 취약점을 이용해 코인 마이너 악성코드를 설치하고 있는 것을 확인하였다. 공격 대상으로 확인된 시스템들 중에는 국내 에너지 관련 기업도 존재하며 취약점이 패치되지 않은 취약한 시스템을 운영하고 있음에 따라 다수의 공격자들의 공격 대상이 되고 있다.

Log4Shell(CVE-2021-44228)은 자바 기반의 로깅 유틸리티인 Log4j의 취약점으로서 원격지의 자바 객체 주소를 로그 메시지에 포함시켜 Log4j를 사용하는 서버에 전송할 경우 서버에서 자바 객체를 실행시킬 수 있는 원격 코드 실행 취약점이다.


1. 8220 Gang 공격 그룹

8220 Gang 공격 그룹은 주로 취약한 윈도우 / 리눅스 시스템들을 공격 대상으로 하는 공격 그룹으로서, 2017년 경부터 그 활동이 확인되고 있다. [1] 취약한 시스템이 확인될 경우 최종적으로 코인 마이너 악성코드를 설치하는 것이 특징이다.

8220 Gang 공격 그룹은 해외뿐만 아니라 국내 시스템들도 공격 대상으로 하며, 과거 ASEC에서 취약한 국내 시스템을 대상으로 Atlassian Confluence 서버 취약점 CVE-2022-26134를 악용하여 코인 마이너를 설치한 공격 사례를 공개한 바 있다.

CVE-2022-26134 취약점 공격이 성공할 경우 다음과 같은 파워쉘 명령으로 추가적인 파워쉘 스크립트를 다운로드해 실행하며 최종적으로 XMRig 코인 마이너를 설치하였다.

Figure 1. 자사 로그에서 확인된 파워쉘 명령어

최근 Fortinet에서는 8220 Gang 공격 그룹이 Oracle Weblogic 서버 취약점을 이용해 ScrubCrypt를 설치한 공격 사례를 공개한 바 있다. [2] ScrubCrypt는 닷넷으로 개발된 Crypter로서 추가 악성코드를 설치할 수 있는 기능을 제공하는 악성코드이다.

Fortinet에서 소개한 공격 사례는 자사 AhnLab Smart Defense(ASD) 로그를 통해서도 확인되었으며, 공격 과정에서 설치된 ScrubCrypt는 최종적으로 8220 Gang의 공격 목표인 XMRig 코인 마이너를 설치한다.

Figure 2. Oracle WebLogic 취약점 공격으로 실행된 파워쉘 명령 로그

ASEC에서는 최근 8220 Gang 공격 그룹이 Oracle Weblogic 서버 취약점 외에 Log4Shell 취약점을 이용해 ScrubCrypt 악성코드를 다운로드한 이력을 확인하였다. ScrubCrypt를 통해 최종적으로 설치되는 악성코드는 이전과 동일하게 XMRig 코인 마이너이다.


2. Log4Shell 공격 로그

Log4Shell은 2021년 12월에 공개된 이후 다양한 공격자들에 의해 사용되고 있으며, 최근까지도 해외뿐만 아니라 국내를 대상으로 패치되지 않은 취약한 시스템들을 대상으로 하는 공격에 사용되고 있다.

ASEC에서는 2022년 Lazarus 그룹이 해당 취약점을 악용해 NukeSped 악성코드를 유포한 공격 사례를 공개한 바 있다. 공격자는 보안 패치가 이루어지지 않은 VMware Horizon 제품에 log4j 취약점을 사용하였다. [3] VMware Horizon 제품은 가상화 데스크톱 솔루션으로써 기업에서 원격 근무 솔루션과 클라우드 인프라 운영을 위해 사용하는 제품이다.

ASEC에서는 최근 취약한 ws_tomcatservice.exe 프로세스가 코인 마이너 악성코드를 설치하는 로그를 확인하였다. 해당 공격 과정을 통해 설치되는 악성코드는 최종적으로 XMRig 코인 마이너였으며 8220 Gang 공격 그룹이 사용하는 악성코드로 확인되었다. 구체적인 패킷은 확인되지 않지만 VMware Horizon의 ws_tomcatservice.exe 프로세스에 의해 파워쉘 명령이 실행된 공격 로그와 이미 알려진 취약점을 이용해 패치되지 않은 시스템들을 공격하는 8220 Gang 공격 그룹의 특성상 기존 Log4Shell 취약점이 공격에 사용된 것으로 추정된다.

Figure 3. ws_tomcatservice.exe 프로세스에 의해 실행된 파워쉘
Figure 4. 자사 ASD 인프라에서 확인된 파워쉘 명령 로그


3. ScrubCypt, XMRig CoinMiner 분석

Figure 5. 악성코드 프로세스 트리

Log4Shell 취약점 공격을 통해 다운로드되어 실행되는 파워쉘 스크립트는 기존 Fortinet 블로그처럼 “bypass.ps1”이라는 이름을 갖는다. 내부에 포함된 악성코드는 다르지만 이름뿐만 아니라 루틴도 거의 동일하다.

Figure 6. bypass.ps1 파워쉘 스크립트

“bypass.ps1”은 난독화된 파워쉘 스크립트로서 복호화하면 다음과 같은 코드를 확인할 수 있다. 첫 번째 라인은 AMSI를 우회하는 루틴이며 이후 내부에 포함된 실제 악성코드를 복호화하여 “%TEMP%PhotoShop-Setup-2545.exe” 경로에 생성한 후 실행한다.

Figure 7. 복호화된 파워쉘 루틴

“PhotoShop-Setup-2545.exe“는 닷넷 다운로더 악성코드로서 다음 주소에서 인코딩된 데이터를 다운로드한 후 복호화하여 RegAsm.exe에 인젝션한다.

  • 다운로드 주소 : hxxp://77.91.84[.]42/Whkpws.png
Figure 8. 닷넷 다운로더 악성코드

RegAsm 프로세스에 인젝션되어 실행되는 악성코드는 난독화되어 있지만 Fortinet에서 소개한 ScrubCrypt의 루틴과 유사한 점을 보아 ScrubCrypt 악성코드로 추정된다. 공격에 사용된 ScrubCrypt는 다음과 같이 3개의 C&C 주소와 4개의 포트 번호(58001, 58002, 58003, 58004)를 가지고 있다.

Figure 9. ScrubCrypt(RegAsm.exe)의 C&C 주소
179.43.155[.]202
su-95.letmaker[.]top
su95.bpdeliver[.]ru
ScrubCrypt(RegAsm.exe)의 C&C 주소

ScrubCypt는 C&C 서버에 연결하여 추가 명령을 다운로드하며 현재 분석 환경에서는 XMRig 코인 마이너를 설치하는 명령이 확인된다.

Figure 10. XMRig 코인 마이너를 설치하는 파워쉘 명령

다운로드되어 실행되는 “deliver1.exex”는 인젝터 악성코드로서 내부 리소스에 인코딩되어 저장된 또 다른 ScrubCrypt를 MSBuild.exe에 인젝션 한다. 해당 ScrubCrypt는 다음과 같이 2개의 C&C 주소와 4개의 포트 번호(9090, 9091, 9092, 8444)를 가지고 있다.

Figure 11. ScrubCrypt(MSBuild.exe)의 C&C 주소
179.43.155[.]202
su95.bpdeliver[.]ru
ScrubCrypt(MSBuild.exe)의 C&C 주소
Figure 12. Fiddler에서 확인되는 악성코드 다운로드 로그

ScrubCrypt는 레지스트리에 XMRig 실행 시 사용할 설정 데이터(마이닝 풀 주소와 지갑 주소, 코인 마이너 페이로드 다운로드 주소, 인젝션 대상 프로세스)와 다운로드한 인코딩된 데이터 파일들 “plugin_3.dll”, “plugin_4.dll”을 쓴다.

Figure 13. 레지스트리에 저장된 설정 데이터와 인코딩된 파일들

“plugin_4.dll”은 인코딩된 닷넷 악성코드로서 복호화되어 메모리 상에서 동작한다. “plugin_4.dll”의 기능은 다음과 같이 인코딩된 XMRig인 “plugin_3.dll”를 복호화하고 설정 데이터에 지정된 정상 프로세스 AddInProcess.exe에 인젝션 한 후 커맨드 라인과 함께 실행시킨다.

Figure 14. XMRig 마이너 인젝션 시 설정 데이터
  • Mining Pool 주소 : 174.138.19[.]0:8080
  • 지갑 주소 : “46E9UkTFqALXNh2mSbA7WGDoa2i6h4WVgUgPVdT9ZdtweLRvAhWmbvuY1dhEmfjHbsavKXo3eGf5ZRb4qJzFXLVHGYH4moQ”
  • 비밀번호 : “x”

공격자의 모네로 코인 지갑 주소는 이전에 공개한 Atlassian Confluence 서버 취약점 공격에서 사용된 주소와 동일하며, 최근 공개된 Fortinet의 Oracle Weblogic 서버 취약점 공격 사례와도 동일하다. 8220 Gang 공격 그룹은 과거부터 꾸준히 동일한 지갑 주소를 사용하고 있는 것이 특징이다.


4. 결론

8220 Gang으로 알려진 공격 그룹은 취약점이 패치되지 않은 시스템들을 대상으로 모네로 코인을 채굴하는 XMRig 코인 마이너를 설치하고 있다. 과거 취약한 아틀라시안 컨플루언스 (Atlassian Confluence) 서버를 대상으로 하는 공격이 확인된 바 있으며, 최근에는 VMware Horizon 서버에 대한 Log4Shell 취약점을 이용하고 있다.

관리자들은 현재 사용 중인 VMware Horizon 서버가 취약한 버전인지를 점검하고 최신 버전으로 패치해 기존에 알려진 취약점으로부터 공격을 방지해야 한다. 또한 외부에 오픈되어 접근 가능한 서버에 대해 방화벽과 같은 보안 제품을 이용해 공격자로부터의 접근을 통제해야 한다. 마지막으로 V3를 최신 버전으로 업데이트하여 악성코드의 감염을 사전에 차단할 수 있도록 신경 써야 한다.

파일 진단
– Downloader/PowerShell.Generic (2023.04.17.02)
– Downloader/PowerShell.Generic (2023.04.17.02)
– Downloader/Win.Agent.R572121 (2023.04.16.01)
– CoinMiner/Win.XMRig.C5411888 (2023.04.16.01)

행위 진단
– Execution/MDP.Powershell.M2514

IOC
MD5

– d63be89106d40f7b22e5c66de6ea5d65 : Oracle Weblogic Exploit PowerShell Downloader (bypass.ps1)
– 2748c76e21f7daa0d41419725af8a134 : Log4Shell PowerShell Downloader (bypass.ps1)
– 851d4ab539030d2ccaea220f8ca35e10 : Dotnet Downloader (PhotoShop-Setup-2545.exe)
– bd0312d048419353d57068f5514240dc : ScrubCrypt for CoinMiner (deliver1.exe)

다운로드
– hxxp://163.123.142[.]210/bypass.ps1 : Oracle Weblogic Exploit PowerShell Downloader
– hxxp://77.91.84[.]42/bypass.ps1 : Log4Shell PowerShell Downloader
– hxxp://77.91.84[.]42/Whkpws.png : Dotnet Downloader
– hxxp://77.91.84[.]42/deliver1.exe : ScrubCrypt for CoinMiner
– hxxp://77.91.84[.]42/plugin_3.dll : Encoded XMRig
– hxxp://77.91.84[.]42/plugin_4.dll : Encoded Loader

C&C
– 179.43.155[.]202 : ScrubCrypt
– su-95.letmaker[.]top : ScrubCrypt
– su95.bpdeliver[.]ru : ScrubCrypt
– 174.138.19[.]0:8080 : XMRig Mining Pool

연관 IOC 및 관련 상세 분석 정보는 안랩의 차세대 위협 인텔리전스 플랫폼 ‘AhnLab TIP’ 구독 서비스를 통해 확인 가능하다.

Categories:악성코드 정보

Tagged as:,

0 0 votes
별점 주기
Subscribe
Notify of
guest

0 댓글
Inline Feedbacks
View all comments