DarkIRC 봇넷, 치명적인 오라클 WebLogic CVE-2020-14882 취약점 노려

DarkIRC botnet is targeting the critical Oracle WebLogic CVE-2020-14882

 

전문가들이 DarkIRC 봇넷이 CVE-2020-14882 취약점을 악용하여 노출된 Oracle WebLogic 서버 수천 대를 적극적으로 공격하고 있다고 밝혔습니다.

 

인증되지 않은 공격자가 CVE-2020-14882 취약점을 악용할 경우 간단한 HTTP GET 요청을 보내는 것 만으로 시스템을 탈취할 수 있게 됩니다.

 

이 취약점은 심각도 10점 만점에 9.8점을 기록했으며, 오라클의 10월 CPU(Critical Patch Update)를 통해 수정되었습니다.

 

이 취약점은 오라클 WebLogic 서버 버전 10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0, 12.2.1.4.0, 14.1.1.0에 영향을 미칩니다.

 

이 취약점은 Chaitin Security Research Lab의 보안 연구원인 Voidfyoo가 발견했습니다.

 

Shodan 검색 결과 온라인에 노출된 WebLogic 서버 중 2,973대가 이 공격에 취약한 것으로 드러났습니다. 이 중 대부분의 시스템은 중국(829)에 있었으며 미국(526), 이란(369)에서도 발견되었습니다.

 

Juniper Threat Labs 연구원들은 악성 페이로드 변종 최소 5개를 관찰했습니다. 또한 이 취약점을 성공적으로 악용할 경우 무단 원격 코드 실행으로 이어질 수 있다고 경고했습니다.

 

전문가들이 발견한 오라클 WebLogic 서버를 공격하는 페이로드 중 하나는 현재 사이버 범죄 포럼에서 75달러에 판매되고 있는 DarkIRC 악성코드입니다.

 

이 악성코드의 배후를 탐색하던 연구원은 2020년 8월부터 해커 포럼에서 이 봇넷을 광고하던 계정인 “Freak_OG”를 발견했습니다.

 

 

<이미지 출처: https://blogs.juniper.net/en-us/threat-research/darkirc-bot-exploits-oracle-weblogic-vulnerability>

 

 

최근 발생한 공격 또한 Freak_OG의 소행인지는 밝혀지지 않았습니다.

 

공격자는 취약한 WebLogic 서버에 HTTP GET 요청을 보냈습니다. 이 요청은 cnc[.]c25e6559668942[.]xyz에서 호스팅되는 바이너리 파일을 다운로드 및 실행하는 PowerShell 스크립트를 실행합니다.

 

DarkIRC 제작자는 탐지를 피하기 위해 암호화 툴을 사용했으며, 분석 방지 및 샌드박스 방지 기능까지 추가했습니다. 이 악성코드는 VMware, VirtualBox, VBox, QEMU, Xen 가상머신과 같은 가상 환경에서 실행 중인지 탐지하려 시도합니다.

 

“이 봇은 자신을 %APPDATA%\Chrome\Chrome.exe에 설치하고 자동 실행 항목을 생성합니다. 포함하는 기능은 아래와 같습니다.

- 브라우저 스틸러

- 키로깅

- 비트코인 클리퍼

- DDoS

* Slowloris

* RUDY (R-U-DeadYet?)

* TCP Flood

* HTTP Flood

* UDP Flood

* Syn Flood

- 웜 또는 네트워크에서 자가 확산

- 파일 다운로드

- 명령 실행”

 

 

또한 이 악성코드는 비트코인 클리퍼 기능을 구현해 사용자가 복사한 비트코인 지갑 주소를 악성코드 운영자의 지갑 주소로 변경해 감염된 시스템에서 발생하는 비트코인 거래를 탈취합니다.

 

지난 10월, SANS Technology Institute의 보안 연구원들은 CVE-2020-14882 취약점의 익스플로잇 코드가 공개된 후 공격을 포착할 수 있는 허니팟 집합을 설정했습니다.

 

11월 초, 랜섬웨어 운영자 최소 한 명이 오라클 WebLogic에 영향을 미치는 CVE-2020-14882 취약점을 악용한 것으로 보입니다.

 

CISA 또한 관리자들에 서버 보안을 위해 보안 업데이트를 적용할 것을 권장했습니다.

 

 

 

 

출처:

https://securityaffairs.co/wordpress/111743/hacking/darkirc-oracle-weblogic-cve-2020-14882.html

https://blogs.juniper.net/en-us/threat-research/darkirc-bot-exploits-oracle-weblogic-vulnerability