Apache, Oracle, Redis 서버를 통해 전파되는 Pro-Ocean 악성코드

 

 

New Pro-Ocean malware worms through Apache, Oracle, Redis servers

 

금전적 이득을 목적으로 하는 Rocke 해커들이 새로운 크립토재킹 악성코드를 사용하고 있는 것으로 나타났습니다. 이들은 새로운 악성코드인 ‘Pro-Ocean’을 이용하여 취약한 Apache ActiveMQ, Oracle WebLogic, Redis 인스턴스를 노립니다.

 

이 새로운 악성코드는 자체 확산 기능이 포함되어 있어, 기기를 발견하면 바로 감염을 시도한다는 점에서 해당 그룹의 이전 공격 보다는 한 단계 진화했다고 볼 수 있습니다.

 

악성 행동 숨겨

 

Rocke 크립토재킹 해커는 그들의 공격 습관을 바꾸지 않았습니다. 이들은 여전히 클라우드 애플리케이션을 공격하고, 패치되지 않은 Oracle WebLogic (CVE-2017-10271) 및 Apache ActiveMQ (CVE-2016-3088) 서버를 탈취하기 위해 이미 알려진 취약점을 악용합니다.

 

해당 악성코드를 분석한 Palo Alto Networks의 연구원들은 악성 활동을 숨기고 네트워크 내 패치되지 않은 소프트웨어로 확산되는 “새롭고 개선된 루트킷 및 웜 기능”을 포함하고 있다고 밝혔습니다.

 

Pro-Ocean은 탐지를 피하기 위해 바이너리가 특정 라이브러리 로드에 우선 순위를 지정하도록 하는 리눅스 기본 기능인 LD_PRELOAD를 사용합니다. 이 방법은 새로운 것은 아니며, 다른 악성코드에서 계속해서 발견됩니다.

 

새로운 부분은 개발자가 악성 활동을 은폐하기 위해 공개적으로 사용 가능한 코드를 구현하여 루트킷 기능을 강화했다는 점입니다.

 

한 가지 예는 파일을 열고 설명자를 반환하는 작업을 수행하는 ‘libc’ 라이브러리의 ‘open’ 기능을 들 수 있습니다. 연구원들은 이 악성코드가 ‘open’을 호출하기 전 파일을 숨길지 여부를 결정한다는 사실을 발견했습니다.

 

 

<이미지 출처 : https://unit42.paloaltonetworks.com/pro-ocean-rocke-groups-new-cryptojacking-malware/>

 

 

“파일을 숨길 필요가 있다고 판단되면, 이 악성 기능은 문제의 파일이 아예 존재하지 않는 것처럼 “파일이나 디렉토리가 없습니다”라는 에러를 반환할 것입니다.”

 

조잡한 자가 확산 메커니즘

 

Pro-Ocean의 배후에 있는 공격자들은 피해자를 더 이상 수동으로 공격하지 않고, 다듬어지지 않은 자동 프로세스를 사용하기 시작했습니다.

 

파이썬 스크립트는 ident.me 서비스를 감염된 기기의 공개 IP 주소를 얻어내 동일한 16비트 서브넷 내 모든 시스템을 감염시키려 노력합니다.

 

프로세스에는 선택 사항이 없으며, 공격자는 단순히 공개 익스플로잇을 던지듯 실행하며 발견된 호스트 중 하나가 걸려들기만을 바랄 뿐입니다.

 

 

<이미지 출처 : https://unit42.paloaltonetworks.com/pro-ocean-rocke-groups-new-cryptojacking-malware/>

 

 

Bash로 작성되었고 난독화된 설치 스크립트는 Rocke의 크립토재킹 작전에서 중요한 역할을 담당합니다.

 

이는 Pro-Ocean을 전달하는 것 이외에도 감염된 호스트에서 다른 악성코드 및 마이너를 종료하여 경쟁자를 제거합니다.

 

또한 iptables 방화벽을 삭제하여 Pro-Ocean에 전체 온라인 접근 권한을 부여하고 알람을 발생시킬 수 있는 모니터링 에이전트를 제거합니다.

 

 

<이미지 출처 : https://unit42.paloaltonetworks.com/pro-ocean-rocke-groups-new-cryptojacking-malware/>

 

  

또한 이 크립토재킹 그룹은 대부분의 파워를 모네로 채굴 활동에 사용합니다.

 

Pro-Ocean은 합법적인 프로세스 CPU 사용량 모니터링 모듈을 함께 포함하고 있어, 30% 이상을 사용하는 프로세스를 제거합니다.

 

해당 모듈은 악성코드가 머신에서 활성화된 상태인지 확인하고, 그렇지 않을 경우 이를 시작하여 마이닝 프로세스의 다운 타임을 최소화합니다.

 

현재 이 악성코드는 두 가지 취약점만 악용하고 있지만, 연구원들은 개발자가 더 많은 익스플로잇을 추가할 경우 이 악성코드는 모든 클라우드 애플리케이션을 노릴 수 있다고 설명했습니다.

 

분석에 따르면, 연구원들은 Pro-Ocean의 목표는 알리바바 및 텐센트 클라우드 서비스가 될 수 있다고 밝혔습니다.

 

Rocke Group은 지난 2018년 Cisco Talos 연구원이 발견했습니다. 이 공격 그룹은 이전에는 단순한 공격이 특징이었지만 최근 복잡해지기 시작했습니다.

 

다른 악성코드만큼 정교하지는 않지만 Rocke의 크립토마이닝 작전은 자가 확산 기능 및 개선된 은폐 기술을 추가하여 점점 강력해지고 있습니다.

 

현재 이스트시큐리티 알약(ALYac)에서는 해당 악성코드 샘플을 'Trojan.Downloader.Shell.Agent', 'Trojan.Linux.CoinMiner'로 탐지 중입니다. 

 

 

 

 

출처:

https://www.bleepingcomputer.com/news/security/new-pro-ocean-malware-worms-through-apache-oracle-redis-servers/

https://unit42.paloaltonetworks.com/pro-ocean-rocke-groups-new-cryptojacking-malware/