중국의 위협 요소들이 CVE-2018-20062와 CVE-2019-9082 취약점을 가진 ThinkPHP 애플리케이션을 공격하여 Dama라는 영구적인 웹 쉘을 설치하고 있습니다. 이 웹 쉘은 공격자들이 후속 작업에서 탐지를 피하기 위해 공격자들의 인프라에 일부로 그들을 등록하는 등, 침투된 엔드포인트를 추가로 악용할 수 있게 합니다. 이 활동의 첫 흔적은 2023년 10월로 거슬러 올라가지만, Akamai 분석가들이 모니터링한 결과, 최근에 악의적인 활동이 확장되고 강화되었습니다.
ThinkPHP는 중국에서 특히 인기 있는 오픈 소스 웹 애플리케이션 개발 프레임워크입니다. 이 캠페인에서는 두 가지 결함이 공격자들이 원격 코드 실행을 수행하게 하여, 대상 엔드포인트의 기본 콘텐츠 관리 시스템(CMS)에 영향을 미치도록 이용됩니다. 특히, 공격자들은 이러한 버그를 악용하여 "public.txt"라는 텍스트 파일을 다운로드하며, 이는 실제로는 "roeter.php"로 저장된 Dama 웹 쉘입니다.
Dama 웹 쉘은 공격자들이 침투된 서버의 파일 시스템을 탐색하고, 파일을 업로드하고, 시스템 데이터를 수집하는 등의 고급 기능을 가지고 있습니다. 또한 네트워크 포트 스캔을 수행하고, 데이터베이스에 접근하고, 쉘 명령 실행을 위해 비활성화된 PHP 함수를 우회할 수도 있습니다. 이러한 공격을 방지하기 위해 가장 최신 버전인 ThinkPHP 8.0.으로 이동하는 것이 권장됩니다. Akamai는 또한 이 캠페인의 표적 범위가 광범위하여 ThinkPHP를 사용하지 않는 시스템에도 영향을 미치므로 기회주의적 동기가 있음을 지적합니다.
요약
- 중국의 위협 요소들이 CVE-2018-20062와 CVE-2019-9082 취약점을 가진 ThinkPHP 애플리케이션을 공격하여 Dama라는 웹 쉘을 설치하고 있다.
- 이 웹 쉘은 공격자들이 후속 작업에서 탐지를 피하기 위해 공격자들의 인프라의 일부로 그들을 등록하는 등, 침투된 엔드포인트를 추가로 악용할 수 있게 한다.
- Dama 웹 쉘은 공격자들이 침투된 서버의 파일 시스템을 탐색하고, 파일을 업로드하고, 시스템 데이터를 수집하는 등의 고급 기능을 가지고 있다.
- 또한 네트워크 포트 스캔을 수행하고, 데이터베이스에 접근하고, 쉘 명령 실행을 위해 비활성화된 PHP 함수를 우회할 수도 있다.
- 이러한 공격을 방지하기 위해, 조직들은 가장 최근의 ThinkPHP, 버전 8.0으로 이동하는 것이 권장된다.
※ 이 글은 생성형 AI(ChatGPT-4)에 의해 요약되었습니다.