z0Miner 공격자, 국내 웹 서버를 악용하여 WebLogic 서버 공격
AhnLab SEcurity intelligence Center(ASEC)에서는 국내의 취약한 서버를 대상으로 공격하는 사례를 확인하고 있다. 해당 포스팅에서는 최근 ‘z0Miner’ 공격자가 국내 WebLogic 서버를 대상으로 공격한 사례를 소개한다. z0Miner 공격자는 중국의 Tencent Security에서 처음으로 소개되었다. z0Miner挖矿木马利用Weblogic最新漏洞入侵,腾讯主机安全(云镜)极速捕捉 腾讯主机安全(云镜)于2020.11.02日捕获到挖矿木马团伙z0Miner利用Weblogic未授权命令执行漏洞(CVE-2020-14882/14883)的攻击行动。该团伙通过批量扫描云服务器发现具有Weblogic漏洞的机器,发送精心构造的数据包进行攻击。 이들은 과거부터 국내외 취약한 서버(Atlassian Confluence, Apache ActiveMQ, Log4J 등)를 대상으로 마이너를 유포한 이력이 있어 ASEC을 통해 자주
원격 제어 도구들을 이용한 감염 시스템 제어 – EDR 탐지
원격 제어 도구는 원격지의 단말기를 관리하고 제어하는 기능을 제공하는 소프트웨어이다. 코로나와 같은 환경에서 재택근무 솔루션으로서도 활용이 가능하며 무인 단말기를 원격에서 제어, 관리 및 보수하는 용도로도 활용된다. 이렇게 정상적인 관리 목적으로 사용하는 원격 제어 도구를 RAT 즉 “Remote Administration Tool”라고 부른다. 참고로 Remcos RAT이나 njRAT, Quasar RAT, AveMaria와 같이 원격에서 감염
다양한 원격 제어 도구들을 악용하는 공격자들
개요 일반적으로 공격자들은 스피어 피싱 메일의 첨부 파일이나 멀버타이징, 취약점, 정상 소프트웨어로 위장하여 악성코드를 웹사이트에 업로드하는 등 다양한 방식으로 악성코드를 설치한다. 설치되는 악성코드로는 감염 시스템의 정보를 탈취하기 위한 인포스틸러나 파일들을 암호화해 금전을 요구하는 랜섬웨어, DDoS 공격에 사용하기 위한 DDoS Bot 등이 있다. 이외에도 백도어 및 RAT 도 공격자들이 사용하는 대표적인
AnyDesk 원격 툴을 악용하는 공격 사례 (코발트스트라이크, 미터프리터)
윈도우 시스템 기준 MS-SQL 서버는 대표적인 공격 대상이다. 공격자들은 부적절하게 관리되고 있는 취약한 MS-SQL 서버들을 대상으로 스캐닝한 후 제어 획득에 성공할 경우 악성코드를 설치한다. 공격자에 의해 설치되는 악성코드들로는 코인 마이너나 랜섬웨어 그리고 백도어 악성코드 등 목적에 맞게 다양한 유형들이 존재한다. 백도어 유형의 악성코드들 중에는 Remcos RAT, Gh0st RAT과 같은 원격
