z0Miner 공격자, 국내 웹 서버를 악용하여 WebLogic 서버 공격

AhnLab SEcurity intelligence Center(ASEC)에서는 국내의 취약한 서버를 대상으로 공격하는 사례를 확인하고 있다. 해당 포스팅에서는 최근 ‘z0Miner’ 공격자가 국내 WebLogic 서버를 대상으로 공격한 사례를 소개한다.

z0Miner 공격자는 중국의 Tencent Security에서 처음으로 소개되었다.

z0Miner挖矿木马利用Weblogic最新漏洞入侵，腾讯主机安全（云镜）极速捕捉

腾讯主机安全（云镜）于2020.11.02日捕获到挖矿木马团伙z0Miner利用Weblogic未授权命令执行漏洞（CVE-2020-14882/14883）的攻击行动。该团伙通过批量扫描云服务器发现具有Weblogic漏洞的机器，发送精心构造的数据包进行攻击。

이들은 과거부터 국내외 취약한 서버(Atlassian Confluence, Apache ActiveMQ, Log4J 등)를 대상으로 마이너를 유포한 이력이 있어 ASEC을 통해 자주 언급되었다.

취약한 Atlassian Confluence 서버를 대상으로 하는 공격 사례

Atlassian Confluence 서버 사례 (2022.07.15)

지속적인 공격 대상이 되고 있는 Apache ActiveMQ 취약점 (CVE-2023-46604)

Apache ActiveMQ 서버 사례 (2023.12.13)

또한 이 공격자는 CVE-2020-14882/CVE-2020-14883 취약점을 사용해 WebLogic 서버를 공격한 것으로 많이 알려져 있다.

2024년 1월 26일, ‘z0Miner 공격자’는 국내 WebLogic 서버 시스템을 대상으로 악성 코드를 배포한 사례가 확인되었다. 이들은 대상 시스템의 OS가 Windows라면 powershell.exe 과 certutil.exe을 사용했으며, Linux라면 curl 명령어를 통해 악성 파일을 다운로드하였다.

이번에 확인된 사례는 해외 케이스와 달리 아래의 큰 차이점이 존재한다.

1) 국내 취약한 웹 서버를 장악해 공격자의 다운로드 서버로 악용 2) FRP, NetCat, AnyDesk 등 네트워크 도구 사용한 정황 확인

1. 악용된 국내 웹 서버

이들은 아래와 같이 정상적으로 사용되는 웹 서버를 장악한 뒤 악성 코드(Miner 및 네트워크 도구, 공격에 필요한 스크립트 등)를 배포하는 다운로드 서버로 악용하였다. 현재까지 확인된 국내 서버는 아래와 같다.

공격자에게 악용된 서버는 모두 서버 정보(Apache-Coyote/1.1)가 노출되어 있어 특정 버전을 유추할 수 있었으며, 특정 서버의 경우 관리되지 않아 Tomcat의 구체적인 버전(Apache Tomcat/5.0.28)도 확인할 수 있었다.

2. Windows 대상 공격

2.1. WebShell

공격자는 CVE-2020-14882와 같은 WebLogic 취약점을 이용해 JSP 웹쉘(WebShell)을 업로드한 것으로 확인되었다. 시스템에 웹쉘이 설치되면 지속성을 유지할 수 있고 시스템을 제어할 수 있다. 또한 공격자는 세 가지의 웹쉘(JSP File Browser, Shack2, Behinder)을 사용하였다. 이는 백신에 탐지되지 않는 웹쉘을 업로드하기 위해 여러 종류를 사용하는 것으로 추정된다.

1) JSP File Browser (Zubin WebShell)

공격자는 커스터마이징된 JSP File Browser v1.2 웹쉘을 사용하였다. 해당 웹쉘은 Title을 “Zubin – Welcome”으로 설정하였고 Password는 “zubin@666″으로 하였으며, 제작자 부분을 커스텀한 사람의 이름으로 수정하였다. 이러한 부가적인 부분외에 기존 웹쉘과 큰 차이가 없다.

• private String _password = “zubin@666”;

2) Shack2

해당 웹쉘은 Shack2가 제작한 것으로 유사한 코드는 Github에서 확인할 수 있으며, 공격자가 사용한 버전은 “V1.0-20141106″이다. 해외 보안 업체인 ‘IronNet’에서도 z0Miner 유포 시 해당 웹쉘을 확인한 사례가 존재한다.

Continued Exploitation of CVE-2021-26084

Continued Exploitation of CVE-2021-26084.

조금 특이한 점은 IronNet 사에서 언급한 내용과 같이, 현재도 웹쉘의 9개의 기능 중 3개의 기능만 구현되어 있다는 점이다. 사용 가능한 기능은 OS 정보 등 컴퓨터 정보 출력, 파일 매니저, 명령어 수행 세 가지다.

3) Behinder

해당 웹쉘은 GodZilla, China Chopper와 같이 과거부터 사용되어 많이 알려진 웹쉘이다. 공격자는 Github소스와 동일한 웹쉘을 사용하였다.

2.2. FRP(Fast Reverse Proxy)

공격자는 RDP(Remote Desktop Protocol) 통신하기 위해 Proxy 도구를 사용하였다. 사용한 도구는 FRP(Fast Reverse Proxy)로 과거 ASEC 블로그를 통해 여러 번 소개한 바 있다.

• 국내 기업 타겟의 FRP(Fast Reverse Proxy) 사용하는 공격 그룹
• 달빗(Dalbit,m00nlight): 중국 해커 그룹의 APT 공격 캠페인

z0Miner 공격자는 기본적인 형태의 Frpc와 직접 커스터마이징한 형태를 모두 사용하였다. 기본적인 Frpc는 *.INI 형태의 설정 파일을 불러 읽어와 접속을 시도하는 데 반해, 커스텀된 Frpc는 프로그램 내부에 설정 데이터를 가지고 있어 별도의 파일 없이 실행할 수 있다. 이처럼 Frpc를 커스텀하여 유포하는 방식은 다른 위협 그룹 사례에서도 확인된 바 있다.

• 국내와 태국 대상 APT 공격에 사용된 BlueShell 악성코드

아래는 현재까지 확보한 공격자의 FRP 서버와 포트다.

15.235.22[.]212:5690 15.235.22[.]213:59240

z0Miner 공격자의 Frpc Server & Port

2.3. Netcat

Netcat은 네트워크 연결 시 데이터를 읽고 쓸 수 있는 유틸리티 도구로 과거 침해 사고에도 많이 확인되었다. 특히 방화벽을 우회하고 공격 대상 시스템에 대한 제어를 획득할 수 있는 원격 쉘(Remote Shell) 기능을 제공하기 때문에 공격자가 주로 사용한다.

해당 공격자는 userinit.exe 이라는 이름으로 Netcat을 다운로드 받고 아래와 같이 실행하였다.

해당 명령어의 의미는 주어진 IP와 포트에 연결을 시도하며, 연결 시 명령 프롬프트(CMD)를 실행하라는 의미로 리버스 쉘(Reverse Shell) 명령어이다. 이후에 공격자는 명령 프롬프트를 통해 시스템을 제어할 수 있다.

107.180.100[.]247:88

z0Miner 공격자의 Netcat Server & Port

2.4. AnyDesk

Netcat을 설치한 뒤 추가로 AnyDesk를 설치한 사례는 Apache ActiveMQ 취약점 (CVE-2023-46604) 사례에서도 확인되었다.

• 지속적인 공격 대상이 되고 있는 Apache ActiveMQ 취약점 (CVE-2023-46604)

공격자는 다운로드 서버(침해당한 웹 서버)를 통해 파워쉘 스크립트를 불러온 뒤 공식 홈페이지를 접속하여 AnyDesk를 다운로드하였다.

 

2.5. Miner(XMRig)

현재 공격자가 유포 중인 Windows XMRig 버전은 6.18.0 버전이며, Linux의 경우 XMRig는 6.18.1로 확인되었다.

공격자는 지속성을 위해 WMI의 이벤트 필터(Event Filter)와 컨슈머(Consumer)를 등록하거나 스케줄러(schtasks)를 등록해 pastebin.com의 특정 주소로부터 파워쉘 스크립트를 읽어와 실행하도록 하였다. 그러나 분석 당시에 파워쉘 스크립트는 존재하지 않았다.

이후 ‘javae.exe’ 이라는 이름으로 채굴을 수행한다.

3. Monero Wallet & Mining Pool Address

공격자가 사용 중인 config.json은 다음과 같다.

Mining Pool :  pool.supportxmr[.]com:443 pool.supportxmr[.]com:80 Monero Wallet : 44VkCrG7DkmYCcrNQcBb1QfZ66si2xWqy7HuzgyWLXKy8x3pkzKWxs8TptTNjCS1b2Abm89MuXD1tg81KeRgfP2u3z6f2kP 47y69G6VzipF8ydhXxzRF69e8ys3XrDFjD5SqSM1T8yJGdfHqtRmMA9eQpq8vnWBibhmb35xLAyVpen53hfidLwHDP3NbAm

z0Miner 공격자의 Monero Wallet & Mining Pool Address

5. 결론

공격자들은 패치되지 않은 취약한 WebLogic 서버를 대상으로 지속적으로 공격을 수행하고 있다. 또한 감염 시스템을 장악한 이후 정보를 탈취하거나 랜섬웨어를 설치할 수 있어 관리되지 않는 포트나 서버에 대한 점검이 필요하다. 또 시스템 관리자는 사용 중인 WebLogic 서비스가 최신 버전인지 점검하고 낮은 버전일 시, 패치해 기존에 알려진 취약점으로부터 공격을 방지해야 한다.

사용자는 V3를 최신 버전으로 업데이트하여 악성코드의 감염을 사전에 차단할 수 있도록 신경 써야 한다.

파일 진단
– HackTool/Win.Netcat (2022.10.18.03)
– Win-Trojan/Miner3.Exp (2022.06.24.02)
– Downloader/Shell.Miner.SC197168 (2024.02.27.01)
– Data/JSON.Miner (2024.02.27.01)
– Data/JSON.Miner (2024.02.27.01)
– Trojan/PowerShell.Miner (2024.02.27.01)
– Trojan/Script.z0Miner.SC197169 (2024.02.27.01)
– Trojan/Win.FRP (2024.02.27.01)
– Trojan/Shell.Miner.SC197170 (2024.02.27.01)
– Trojan/Shell.Miner.SC197171 (2024.02.27.01)
– Trojan/Shell.Agent.SC197172 (2024.02.27.01)
– Downloader/Shell.Miner.SC197173 (2024.02.27.01)
– WebShell/JSP.Generic.S1866 (2024.02.27.00)
– Linux/CoinMiner.Gen2 (2022.11.24.02)
– WebShell/JSP.FileBrowser.SC197174 (2024.02.27.01)
– WebShell/JSP.Generic.S1957 (2024.02.27.00)
– Trojan/Shell.Agent.SC197175 (2024.02.27.03)
– Downloader/PowerShell.Miner (2024.02.27.03)
– CoinMiner/Shell.Generic.S2078 (2024.02.27.00)
– Downloader/PowerShell.Miner.SC197176 (2024.02.27.01)

MD5

085c68576c60ca0361b9778268b0b3b9

2a0d26b8b02bb2d17994d2a9a38d61db

4cd78b6cc1e3d3dde3e47852056f78ad

523613a7b9dfa398cbd5ebd2dd0f4f38

547c02a9b01194a0fcbfef79aaa52e38

URL

http[:]//107[.]180[.]100[.]247[:]88/

http[:]//15[.]235[.]22[.]212[:]5690/

http[:]//15[.]235[.]22[.]213[:]59240/