12월 초, Intezer에서 Windows 및 linux 서버에 XMRig 암호화폐 채굴을 할 수 있는 Golang 기반 웜을 발견했다.
해당 악성코드는 알려진 서비스(MySQL, Tomcat, Jenkins 및 WebLogic)에 취약한 암호를 무차별 대입해 다른 시스템으로 확산하는 기능을 가지고 있으며 캠페인 공격자들은 이전 버전에서 WebLogic의 최신 취약점인 CVE-2020-14882를 이용하려고 시도하는 등 C2서버를 통해 웜의 기능을 지속해서 업데이트 하고 있다.
해당 악성코드는 플랫폼에 따라 bash나 Powershell dropper와 Golang 기반의 바이너리 웜과 XMRig miner로 모두 C2서버에서 호스팅 되고 있으며 ELF 웜 바이너리와 bash dropper는 발견 당시에 어디에서도 탐지되지 못했다고 알렸다.
감염된 시스템의 프로세스가 52013 port가 수신 대기 상태일 때 스스로 자신을 삭제하며 그렇지 않을 경우 TCP SYN을 이용해 네트워크를 스캔하고 확산할 수 있는 서비스를 확인한다. 이후 하드 코딩된 자격증명 목록과 암호 스프레이를 통해 무차별 대입하여 확산 시도한다. 이후 Dropper을 이용해 악성코드를 설치하는 것으로 알려졌다.
해당 악성코드와 같은 Golang 언어의 악성코드가 지속해서 발생하고 있으며 이와 관련하여 백신의 탐지에만 의존하기에 어렵다. 따라서 네트워크 관제서비스 역시 중요하며 다음과 같은 보호 정책이 필요하다.
- 복잡한 암호 사용 및 로그인 시도 제한
- 2FA 인증(2차 인증)을 이용
- 공개된 서비스 사용 최소화
- 소프트웨어의 최신 보안패치
현재 알려진 IoC 정보 또한 제공한다. 하지만 공격자가 이후에도 지속해 업데이트 하기에 해당 IoC 정보는 과거 버전에 해당할 수 있다.
C & C
185[.]239[.]242[.]71
파일
| 운영체제 | 기능 | 파일 이름 | 파일 유형 | MD5 |
| Linux | Dropper | ldr.sh | bash script | 236d7925cfafc1f643babdb8e48966bf |
| Worm | sysrv | 64 bit ELF binary |
1. [UPX] ead2cf8ab7aef63706b40eb57d668d0a [unpack] 750644690e51db9f695b542b463164b9
2. [UPX] f4c90b41126fc17848bd0d131288bd36 [unpack] D8499b7b2e2aeb76387668306e982673
3. [UPX] 301a0a58dd98ecbbe12c6acbd0c7bbdc [unpack] f5859e81ff49dd66e501ec7c0f39c83e |
|
| Miner | xmr32 |
32 bit ELF binary |
9c2aa65235a939b2811f281a45ecdab0 | |
| Miner | xmr64 | 64 bit ELF binary | 078b2a96f45b493e82b44f8c5344e7e5 | |
| Windows | Dropper | ldr.ps1 | Powershell script | d708a5394e9448ab38201264df423c0a |
| Worm | sysrv.exe | 32 bit PE binary |
1. [UPX] 030231d96234f06ae09ca18d621241e5 [unpack] 14f57bd246cc1db3131cab421fbc8dac
2. [UPX] 642d73c85e6e79720a5ae7b82fc427c5 [unpack] b1a4ec25e168156aeee8184b05777b1b |
|
| Miner | xmr32.exe | 32 bit PE binary | 97d89d25e9589f995d374cb7d89b4433 | |
| Miner | xmr64.exe | 64 비트 PE binary | 569fcf95f3889cefd87c1b425fa37b03 | |
| 1.jsp | java Server Page | 644f20b5a6e03aa054ba62d32f983adc |