2024-10-05 16:00 (토)
[긴급] 오라클 취약점 이용해 모네로 채굴 악성코드 전파중...주의
상태바
[긴급] 오라클 취약점 이용해 모네로 채굴 악성코드 전파중...주의
  • 페소아 기자
  • 승인 2018.02.21 17:28
이 기사를 공유합니다

dark-3123582_640.jpg
피해자의 컴퓨터에 모네로(Monero) 코인 채굴기를 설치하기 위해 오라클의 웹로직(WebLogic) 어플리케이션 서버 취약점을 이용하는 악성 캠페인이 최소 4개의 감염 전술을 이용해 사실상 모든 산업분야에 걸쳐 전 세계적으로 퍼지고 있음이 나타났다.

파이어아이 연구원라케쉬 샤마(Sakesh Sharma), 악힐 레디(Akhil Reddy), 킴벌리 구디(Kimberly Goody)가 작성한 2월 15일 블로그 게시물에 따르면 해당 캠페인은 이미 미국, 호주, 홍콩, 인도, 말레이시아, 영국, 스페인에서 활동했던 것으로 드러났다.

CVE-2017-10271은 PeopleSoft HR과 오라클 E-Business Suite 소프트웨어에서 발생하는 원격코드 실행 취약점이다. 2017년 말에 패치가 나왔지만, 업데이트 되지 않은 서버들은 여전히 취약하다. 파이어아이측에 따르면 적어도 4개의코인 채굴 악성코드를 설치하기 위한 개별적인 전술이 존재하는 것으로 나타났다.

발견된 4개의 전술 중 첫번째는 파워쉘을 사용해 피해시스템에 직접 채굴기를 다운로드하고 ShellExecute를 사용해 프로그램을 실행하는 것이다. 이외에도 익스플로잇을 통해 원격서버에서 채굴기를 다운로드하는 파워쉘 스크립트를 보내는 것, 리눅스OS의 경우 쉘스크립트를 통해 채굴기를 다운로드하는 것, 마지막으로 덤프된 윈도우 자격증명, 자격증명 추출도구인 Mimikatz 및 이터널블루 윈도우 SMB 서버 익스플로잇을 이용해 확산시키는 것이다.

이 캠페인은 Morphus Labs의 수석연구원인 레나토 마린호(Renato Marinho)와 SANS Technology Institute의 요하네스 울리치(Johannes Ullrich) 연구원이 지난달 보고한 것과 유사하며, 동일한 오라클 버그가 XMRig 채굴기를 전달하는데 사용되었다고 한다.

파이어아이의 선임 분석가 킴벌리 구디(Kimberly Goody)는 “CVE-2017-10271을 활용해 암호화폐 채굴기를 배포한다수의 캠패인이 있었다. 게시글을 통해 단발적인 캠페인이 아닌, 우리가 그동안 관찰해온 취약점을 활용한 다양한 전술을 설명하고자 했다. 블로그의 지표들을 빠르게 검토한 결과 이전 활동들과는 다른 것으로 드러났고, 우리는 계속해서 CVE-2017-10271을 이용하는 공격을 관찰하고 있다”고 설명했다.

★정보보안 대표 미디어 데일리시큐!★


■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★