보안정보

작년에 발견된 암호화폐 채굴 봇넷은 현재 Jenkins 및 ElasticSearch 서버를 표적으로 삼아 모네로 암호 화폐를 채굴하려고 시도하고 있다.zoMiner는 웹 로직 보안 취약성을 악용하여 수천 대의 서버를 감염 시키는 암호화폐 채굴 악성코드이며 Tencent Security Team에 의해 작년 11월에 발견되었다.

 

최근에 공격자는 ElasticSearch 및 Jenkins 서버에 영향을 주는 RCE 취약점을 악용하여 감염시킬 새로운 PC들을 스캔하고 감염시키도록 이 악성 코드를 업그레이드 시켜왔다. Qihoo 360의 네트워크 보안 연구소(360 Netlab)의 연구원들이 발표한 보고서에 따르면 zoMiner는 현재 2015년 이전에 패치 된 취약점에 대해 패치가 되지 않은 서버를 찾고 있다. 이 봇넷은 CVE-2015-1427에 해당하는 ElasticSearch RCE 취약점과 Jenkins 서버에 영향을 미치는 이전 RCE를 이용하여 서버를 손상시킨다. 서버를 손상시킨 후, 악성 코드는 먼저 악성 쉘 스크립트를 다운로드 하고 이전에 배포된 암호 화폐 채굴 코드를 찾아 삭제한다. 다음으로 Pastebin에서 악성 스크립트를 주기적으로 가져올 목적으로 cron을 설정한다. 그 다음엔 XMRig 채굴 스크립트, 구성 파일, 시작 스크립트가 포함된 채쿨 키트를 다운로드하고 백그라운드에서 암호 화폐를 채굴하기 시작한다.

 

 

[그림 1. zoMiner 2020년 활동 빈도]

 

360 Netlab은 zoMiner 봇넷이 사용하는 모네로 지갑 중 하나에 약 22개의 XMR이 포함되어 있음을 발견했다. 이는 약 4600달러가 조금 넘는 값어치를 지닌다. 채굴량이 많아 보이지 않더라도 암호 화폐 채굴 봇넷은 정기적으로 두 개 이상의 지갑을 사용하여 불법적으로 빠르게 합산되는 방식으로 암호 화폐를 채굴한다. 360 Netlab이 공유한 허니팟 통계에 따르면 zoMiner 봇넷 활동은 1월 초에 잠시 주춤하다 1월 중순에 다시 시작되었다.

 

이 zoMiner는 작년에 CVE-2020-14882 와 CVE-2020-14883으로 명시된 웹 로직 관련 RCE 취약점을 이용하여 활동했으며 이를 Tencent Security Team에 의해 발견된 바 있다. Tencent Security Team에 따르면 zoMiner를 제어하는 공격자가 5000대 이상의 서버를 빠르게 공격하고 있다고 한다. 공격자들은 미패치된 웹 로직 서버를 찾기 위해 일괄적으로 클라우드 서버를 스캔하고 취약한 서버를 악용하기 위해 잘 짜여진 데이터 패킷을 전송하여 손상 시켰다.손상 시킨 후, Netlab 연구원이 관찰한 것과 유사한 공격 방식을 사용하여 crontab을 통해 지속성을 확보하고 모네로를 채굴하기 시작했다.2020년 11월 Tencent Security Team 이 발견한 zoMiner 샘플은 SSH를 통해 이미 감염된 장치로 확산되었다.

 

 

출처

https://www.bleepingcomputer.com/news/security/z0miner-botnet-hunts-for-unpatched-elasticsearch-jenkins-servers/