|
DarkIRC봇넷, Oracle WebLogic 취약점인 CVE-2020-14882를 활용 침해사고분석팀 2020.12.03 |
|
|
Oracle WebLogic의 RCE 취약점인 CVE-2020-14882는 DarkIRC 봇넷의 운영자들에게 적극적으로 이용되고 있다.
전문가들은 DarkIRC 봇넷이 CVE-2020-14882를 악용하기 위해 수천 대의 노출된 Oracle WebLogic 표적으로 삼고 있다고 보고했다.
CVE-2020-14882는 인증되지 않은 공격자가 간단하게 조작된 HTTP GET 요청을 보내 공격할 수 있다.
해당 취약점은 CVSS 10점 만점에 9.8점을 받았으며 Oracledms 10월 CPU(Critical Patch Update)에서 해결했다.
영향을 미치는 취약점 버전은 Oracle WebLogic Server 10.3.6.0.0, 12.1.3.0, 12.2.1.3.0, 12.2.1.4.0 및 14.1.1.0이다.
이 결함은 Chaitin Security Research Lab의 보안 연구원인 Voidfyoo가 발견했다.
온라인에 노출된 2,973대의 Oracle WebLogic Server가 위의 결함을 악용하는 원격 공격에 잠재적으로 취약하다고 Shodan은 말했다.
이들 시스템은 대부분 중국(829개)에 있고, 미국(526개) 이란(369개)이 그 뒤를 잇고 있다.
Juniper Threat Labs의 연구원들은 악성 스페이로드의 최소 5가지 변종을 관찰했다.
전문가들이 관찰 한 Oracle WebLogic Server를 대상으로 하는 페이로드 중 하나는 현재 사이버 범죄 포럼에서 75USD에 판매되고있는 DarkIRC 악성 코드이다.
해당 공격의 운영자를 발견한 연구원들은 2020년 8월부터 봇넷을 광고하고 있는 "Freak_OG" 이름으로 온라인에 접속되는 Hack Forums의 계정을 발견했다.
[그림1. "Freak_OG" 계정]
Freak_OG가 최근 공격의 운영자인지는 확실하지 않다. 공격자는 취약한 WebLogic Server에 HTTP GET 요청을 보냈고, 이 요청은 powershell 스크립트를 실행하여 cnc[.]c25e6559668942[.]xyz에서 호스팅되는 바이너리 파일을 다운로드하고 실행한다. DarkIRC 개발자들은 탐지를 우회하기 위해 암호화를 사용했으며, 여기에는 분석 방지 및 샌드박스 방지 기능이 포함되어 있다. 또한 이 악성코드는 VMware, VirtualBox, VBox, QEMU 등의 가상 환경에서 실행 중인지 감지하려고 시도한다. 봇은 %APPDATA%ChromeChrome.exe %APPDA에 자체적으로 설치되며 자동 실행 항목을 생성한다. 그 기능은 다음과 같다. - Browser Stealer
지난 10월, SANS Technology Institute의 보안 연구원은 CVE-2020-14882의 익스플로잇 코드가 공개되자마자 일련의 공격을 포착할 수 있도록 허니팟을 설정했다.
11월 초에는 최소 한 명의 랜섬웨어 운영자가 Oracle WebLogic에 영향을 미치는 CVE-2020-14882 취약점을 악용한 것으로 보인다.
따라서, CISA는 관리자에게 서버 보안을 위해 보안 업데이트를 적용할 것을 촉구했다.
출처 https://securityaffairs.co/wordpress/111743/hacking/darkirc-oracle-weblogic-cve-2020-14882.html |
