8220 조직, 로그4셸 취약점 악용해 코인 마이너 설치!

안랩 분석팀은 최근 8220 갱단(8220 Gang)이 VM웨어 호라이즌(Horizon) 서버를 대상으로 로그4셸(Log4Shell) 취약점을 이용해 코인 마이너 악성코드를 설치한 정황을 포착했다. 주요 표적은 취약점이 패치되지 않은 시스템을 운영 중인 국내 에너지 기업인 것으로 확인된다. 8220 갱단이 코인 마이너 악성코드를 설치하는 과정을 자세히 알아보자.

 

​로그4셸(CVE-2021-44228)이란 자바 기반의 로깅 유틸리티인 로그4j(Log4j)의 취약점으로, 원격지의 자바 객체 주소를 로그 메시지에 포함시켜 로그4j를 사용하는 서버에 전송할 경우 서버에서 자가 객체를 실행시킬 수 있는 원격 코드 실행 취약점이다.

 

8220 갱단의 코인 마이너 설치 사례

8220 갱단은 취약한 윈도우 및 리눅스 시스템을 노리는 공격 단체로, 2017년부터 활동해오고 있다. 취약한 시스템에 코인 마이너 악성코드를 설치하는 것이 특징이다.

 

이 해킹 그룹은 해외뿐만 아니라 국내 시스템도 공격한다. 안랩 분석팀은 과거 8220 갱단이 아틀라시안 컨플루언스(Atlassian Confluence) 서버에서 발견된 취약점인 CVE-2022-26134를 악용해 국내 취약한 시스템을 대상으로 코인 마이너를 설치한 사례를 공개하기도 했다.

 

CVE-2022-26134 취약점 공격이 성공하면, [그림 1]과 같은 파워셸(PowerShell) 명령어로 추가 파워셸 스크립트를 다운로드 및 실행하여 최종적으로 XMRig 코인 마이너를 설치한다.

 

[그림 1] 안랩 분석팀이 확인한 파워셸 명령어

 

​최근 포티넷(Fortinet)에서는 8220 갱단이 오라클 웹로직(Oracle Weblogic) 서버의 취약점을 이용해 ScrubCrypt를 설치한 사례를 공개했다. ScrubCrypt는 닷넷(.NET)으로 개발된 크립터(Crypter)로, 추가 악성코드를 설치할 수 있는 기능을 제공하는 악성코드이다.

 

포티넷에서 소개한 공격 사례는 안랩 ASD(AhnLab Smart Defense) 로그를 통해서도 확인됐으며, 공격 과정에서 설치된 ScrubCrypt는 8220 갱단의 최종 목표인 XMRig 코인 마이너를 설치한다.

 

[그림 2] 오라클 웹로직 취약점 공격으로 실행된 파워셸 명령 로그

 

​안랩 분석팀은 최근 8220 갱단이 오라클 웹로직 서버 취약점 외에 로그4셸 취약점을 이용해 ScrubCrypt 악성코드를 다운로드한 이력을 확인했다. ScrubCrypt를 통해 최종적으로 설치되는 악성코드는 기존과 동일하게 XMRig 코인 마이너이다.

 

로그4셸 취약점 악용한 VM웨어 호라이즌 서버 공격

로그4셸은 2021년 12월에 공개된 이후, 최근까지 국내외 미패치 시스템을 노린 공격에 많이 사용되고 있다.

 

안랩 분석팀에 따르면, 8220 갱단은 최근 보안 패치가 이루어지지 않은 VM웨어 호라이즌 제품에 로그4j 취약점을 사용했다. VM웨어 호라이즌 제품은 가상화 데스크톱 솔루션으로서, 기업에서 원격 근무 솔루션 및 클라우드 인프라 운영을 위해 사용하는 제품이다.

 

안랩 분석팀은 VM웨어 호라이즌의 ws_tomcatservice.exe 프로세스가 코인 마이너 악성코드를 설치하는 로그를 확인했다. 이 공격 과정을 통해 설치된 악성코드는 XMRig 코인 마이너였으며, 이는 8220 갱단 그룹이 사용하는 악성코드로 확인됐다. 아직까지 구체적인 패킷은 확인된 바 없지만, VM웨어 호라이즌의 ws_tomcatservice.exe 프로세스에 의해 파워셸 명령이 실행된 공격 로그와 이미 알려진 취약점을 사용해 패치되지 않은 시스템을 공격하는 8220 갱단의 특징으로 미루어 봤을 때, 기존 로그4셸 취약점이 공격에 사용된 것으로 추정된다.

 

[그림 3] ws_tomcatservice.exe 프로세스에 의해 실행된 파워셸

 

​[그림 4] 안랩 ASD 인프라에서 확인된 파워셸 명령 로그

로그4셸 취약점 공격으로 XMRig 코인 마이너를 설치하는 과정

 

​[그림 5] 악성코드 프로세스 트리

[그림 6] bypass.ps1 파워셸 스크립트

로그4셸 취약점 공격은 “bypass.ps1”이라는 파워셸 스크립트를 다운로드 및 실행한다.

 

​“bypass.ps1”은 난독화된 파워셸 스크립트로서, 복호화하면 [그림 7]과 같다. 첫 번째 라인은 AMSI를 우회하는 루틴이며, 이후 내부에 포함된 실제 악성코드를 복호화해 “%TEMP%PhotoShop-Setup-2545.exe” 경로에 생성한 후 실행한다.

 

[그림 7] 복호화된 파워셸 루틴

 

[그림 7]의 코드에서 “PhotoShop-Setup-2545.exe”는 닷넷 다운로더 악성코드로, 아래 다운로드 주소에서 인코딩된 데이터를 다운로드한 후 복호화해 RegAsm.exe에 인젝션한다.

Ÿ 다운로드 주소 : hxxp://77.91.84[.]42/Whkpws.png

[그림 8] 닷넷 다운로더 악성코드

 

​RegAsm 프로세스에 인젝션되어 실행되는 악성코드는 난독화되어 있지만, 포티넷이 소개한 ScrubCrypt의 루틴과 유사한 것으로 보아, ScrubCrypt 악성코드로 추정된다. 공격에 사용된 ScrubCrypt는 [그림 9]와 같이 3개의 C&C 주소와 포트 번호(58001, 58002, 58003, 58004) 4개를 가지고 있다.

[그림 9] ScrubCrypt(RegAsm.exe)의 C&C 주소

 

​ScrubCrypt(RegAsm.exe)의 C&C 주소

 

​ScrubCrypt는 C&C 서버에 연결해 추가 명령을 다운로드하며, 현재 분석 환경에서는 XMRig 코인 마이너를 설치하는 명령이 확인된다.

[그림 10] XMRig 코인 마이너를 설치하는 파워셸 명령

다운로드되어 실행되는 “deliver1.exex”는 인젝터 악성코드로, 내부 리소스에 인코딩되어 저장된 또 다른 ScrubCrypt를 MSBuild.exe에 인젝션 한다. 해당 ScrubCrypt는 [그림 11]과 같이 C&C 주소 2개와 포트 번호(9090, 9091, 9092, 8444) 4개를 가지고 있다.

 

​[그림 11] ScrubCrypt(MSBuild.exe)의 C&C 주

 

​ScrubCrypt(MSBuild.exe)의 C&C 주소

[그림 12] 피들러(Fiddler)에서 확인되는 악성코드 다운로드 로그

 

​ScrubCrypt는 레지스트리에 마이닝 풀 주소와 지갑 주소, 코인 마이너 페이로드 다운로드 주소, 인젝션 대상 프로세스가 포함된 XMRig 실행 시 사용할 설정 데이터와 다운로드한 인코딩된 데이터 파일인 “plugin_3.dll”, “plugin_4.dll”을 사용한다.

[그림 13] 레지스트리에 저장된 설정 데이터와 인코딩된 파일들

“plugin_4.dll”은 인코딩된 닷넷 악성코드로 복호화되어 메모리 상에서 동작한다. “plugin_4.dll”의 기능은 [그림 14]와 같이 인코딩된 XMRig인 “plugin_3.dll”를 복호화하고 설정 데이터에 지정된 정상 프로세스 AddInProcess.exe에 인젝션 한 후 커맨드 라인과 함께 실행시킨다.

[그림 14] XMRig 마이너 인젝션 시 설정 데이터

 

​Ÿ 마이닝 풀(Mining Pool) 주소 : 174.138.19[.]0:8080

Ÿ 지갑 주소 : “46E9UkTFqALXNh2mSbA7WGDoa2i6h4WVgUgPVdT9ZdtweLRvAhWmbvuY1dhEmfjHbsavKXo3eGf5ZRb4qJzFXLVHGYH4moQ”

Ÿ 비밀번호 : “x”

 

공격자의 모네로(Monero) 코인 지갑 주소는 이전에 공개한 아틀라시안 컨플루언스 서버 취약점 공격에서 사용된 주소와 동일하며, 최근 공개된 포티넷의 오라클 웹로직 서버 취약점 공격 사례와도 동일하다. 8220 갱단은 과거부터 꾸준히 동일한 지갑 주소를 사용하고 있다.

 

이처럼 8220 갱단은 취약점이 패치되지 않은 시스템들을 대상으로 모네로(Monero) 코인을 채굴하는 XMRig 코인 마이너를 설치한다. 과거 취약한 아틀라시안 컨플루언스 서버를 표적으로 삼은 공격이 확인된 바 있으며, 최근에는 VM웨어 호라이즌 서버에 대한 로그4셸 취약점을 이용하고 있다.

 

관리자는 현재 사용 중인 VM웨어 호라이즌 서버가 취약한 버전인지를 점검하고, 최신 버전으로 패치해 공격을 방지해야 한다. 또한, 외부에 오픈되어 접근 가능한 서버에 대해 방화벽과 같은 보안 제품으로 공격자의 접근을 통제해야 한다. 이 밖에, V3를 최신 버전으로 업데이트해 악성코드 감염을 사전에 차단할 수 있도록 만전을 기해야 한다.

 

 

출처 : AhnLab

02-553-2331
견적 요청
카카오톡 문의