Linux malware called Hadooken targets Oracle WebLogic servers
- 개요
- Hadooken이라는 새로운 Linux 악성코드가 발견되었으며, 이는 Oracle WebLogic 서버를 타겟으로 함
- 이 악성코드는 Tsunami 악성코드와 암호화폐 채굴기를 배포하며 여러 랜섬웨어와 연관이 있음
- 공격 과정
- Hadooken은 WebLogic 서버에서 취약점과 약한 비밀번호를 악용해 초기 접근 권한을 얻고, 원격 코드 실행을 수행
- 쉘 스크립트와 파이썬 스크립트를 사용하여 악성코드를 다운로드 및 실행
- 공격자는 추가 서버를 감염시키기 위해 SSH 데이터를 포함한 디렉토리를 타겟으로 하여 측면 이동을 시도
- 로그 삭제를 통해 활동을 숨김
- 악성코드 분석
- Hadooken은 암호화폐 채굴기와 Tsunami 악성코드를 포함
- 암호화폐 채굴기는 3개의 경로에 서로 다른 이름으로 저장됨
- /usr/bin/crondr
- /usr/bin/bprofr
- /mnt/-java
- Tsunami 악성코드는 임의의 이름으로 "/tmp/₩<random₩>"에 저장
- 추가적인 공격
- Tsunami 악성코드는 현재 공격에서 사용된 흔적은 없지만, 향후 공격에서 사용할 가능성이 있음
- 악성코드 다운로드 IP
- 89.185.85.102: 독일에 등록된 IP로 현재 활성 상태이며, TeamTNT와 Gang 8220과 연관
- 185.174.136.204: 러시아에 등록된 IP로 현재 비활성 상태
- 연관성
- Hadooken 악성코드는 RHOMBUS와 NoEscape 랜섬웨어와 연관성을 보였으나, 동적 분석에서는 이들의 실제 사용이 확인되지 않음
- Shodan 검색 결과
- 약 230,000개의 인터넷에 연결된 WebLogic 서버가 존재
- 대부분의 서버는 보호되고 있으나, 수백 개의 WebLogic 서버 관리 콘솔은 취약점이나 잘못된 설정으로 인해 공격에 노출될 수 있음
- 보안 권장 사항
- 조직들은 WebLogic 서버의 관리 콘솔을 보호하고, 취약점 패치와 강력한 비밀번호 사용을 통해 보안 수준을 강화해야 함
'Kant's IT > Issue on IT&Security' 카테고리의 다른 글
AI기본법 속도전: 진흥과 규제의 균형이 필요 (3) | 2024.09.25 |
---|---|
CISA 국장의 소프트웨어 개발사 책임론: 안전한 소프트웨어의 중요성 (0) | 2024.09.25 |
전 세계를 아우르는 대단위 정보 탈취 캠페인 발견 (0) | 2024.09.25 |
클라우드 퍼스트, 보안 내재화의 필요성과 도전 과제 (3) | 2024.09.25 |
AI 디지털 교과서 도입에 대한 보안 우려 (1) | 2024.09.25 |