새로운 Xwo 웹 스캐너, MongoLock 랜섬웨어 도와

New Xwo Web Scanner Helps MongoLock Ransomware Find Victims

알려진 악성코드 패밀리 2개의 코드와 인프라가 Xwo라는 웹 스캐너를 이용하여 악성 행위를 한 것으로 밝혀졌습니다. 

MongoLock 랜섬웨어 운영자들은 Xwo를 악용하여 인터넷을 통해 접근 가능한 보호되지 않은 웹 서비스를 찾았습니다.

MongoLock은 보호되지 않은 MongoDB 데이터베이스를 서버로부터 삭제하고, 복구를 위해서는 랜섬머니를 지불하라고 요구합니다.

Xwo는 정찰 활동을 위해 고안된 파이썬 기반의 봇 스캐너입니다. 

C&C 서버로부터 받은 IP 범위를 기반으로, 이 유틸리티는 서비스의 디폴트 패스워드를 탐색하고 결과를 반환합니다. 

Xwo 웹 스캐너는 악성 툴은 아니지만 다른 악성 행위를 가능하게 도와줍니다.

철저히 조사하는 Xwo 웹 스캐너

AT&T 측은 Xwo가 다양한 유형의 데이터베이스(MySQL, PostgreSQL, MongoDB), Redis, Memcached, 인메모리 데이터베이스, FTP 서비스의 디폴트 크리덴셜을 시도한다고 밝혔습니다.

스캐너가 시스템에서 Apache Tomcat을 발견하면, 모듈을 사용하여 디폴트 크리덴셜로 보호되고 있는지를 확인하고 잘못된 구성을 찾습니다. 

수집하는 추가 정보에는 SVN, Git, 백업의 기본 경로가 포함됩니다.

<이미지 출처: https://www.alienvault.com/blogs/labs-research/xwo-a-python-based-bot-scanner>

Xwo는 ‘rsync’ 동기화 유틸리티의 존재 여부 및 RealVNC를 이용해 데이터를 받아오는지 등을 철저히 조사합니다. 

이 세부정보를 통해 공격자는 데이터베이스의 위치에 대한 정보를 얻을 수 있습니다.

검사할 IP 주소 범위에 대한 명령은 MongoLock과 관련된 여러 C&C 서버로부터 받습니다.

C&C 서버 리스트

s.propub3r6espa33w[.]tk

s.blockchainbdgpzk[.]tk

s.pcrisk[.]xyz

s.rapid7[.]xyz

보안 연구원인 Tom Hegel은 위의 C2 인프라는 MongoLock과 관련이 있다고 언급했습니다.

이 인프라의 배후에 누군가가 보안 및 뉴스 조직/웹사이트(Rapid7, PCRisk, ProPublica)의 이름을 모방한 도메인명을 사용했다고 밝혔습니다.

이 C2 서버는 Cloudflare의 콘텐츠 딜리버리 네트워크 서비스(CDN)를 사용했습니다. 이 도메인들은 현재 오프라인 상태입니다.

Xwo는 본질적으로는 악의적인 의도를 가지고 있지 않지만, 여러 안티바이러스 엔진은 이를 위협으로 탐지하고 있습니다.

Xbash 코드를 기반으로 만들어져

Xwo 스캐너는 100% 오리지널 코드는 아닙니다. 코드 중 일부는 리눅스와 마이크로소프트 서버를 노리며 랜섬웨어, 크립토재킹 기능을 탑재한 악성코드인 Xbash의 일부와 동일합니다.

<이미지 출처: https://www.alienvault.com/blogs/labs-research/xwo-a-python-based-bot-scanner>

'Iron'이라는 사이버범죄 그룹이 만든 Xbash는 보호되지 않은 데이터베이스(MySQL, PostgreSQL, and MongoDB)를 찾아 삭제한다는 점에서 MongoLock과 유사합니다. 

데이터베이스 삭제 후, 랜섬노트를 남기는데 데이터를 복구할 수 없기 때문에 절대 돈을 지불해서는 안 됩니다.

현재 알약에서는 해당 악성코드에 대해 Trojan.Agent.Occamy.A으로 탐지 중에 있습니다.

출처:

https://www.bleepingcomputer.com/news/security/new-xwo-web-scanner-helps-mongolock-ransomware-find-victims/

https://www.alienvault.com/blogs/labs-research/xwo-a-python-based-bot-scanner