* 출처는 안랩입니다.
최근 국내 웹 서버들을 대상으로 한 사이버 공격 사례에서 MeshAgent, SuperShell, WogRAT 등 다양한 툴이 복합적으로 사용된 정황이 확인됐다. 악성코드 배포 주소에 ELF 포맷의 악성코드들이 존재하는 것을 보면 공격자는 윈도우 서버 외에도 리눅스 서버까지 공격 중인 것으로 보인다.
이번 공격은 파일 업로드 취약점을 이용한 웹셸(WebShell) 설치부터 권한 상승, 측면 이동까지 체계적으로 진행됐으며, 과거 WogRAT 유포 사례와의 연관성도 포착됐다. 공격자가 어떤 방식으로 침투하고, 어떤 툴을 사용해 시스템을 장악했는지 그 흐름에 대해 살펴보자.
이번 공격에 사용된 악성코드 배포 주소에서 WogRAT이 함께 확인됐다. WogRAT은 Rekoobe와 유사하게 오픈 소스 악성코드인 “Tiny SHell”의 루틴을 차용해 개발된 백도어 악성코드다. 최근 확인된 WogRAT의 C&C 서버 주소가 과거 aNotepad를 악용해 유포됐던 공격 사례의 WogRAT과 C&C 서버 주소가 동일한 점을 보면, 두 사례 모두 동일한 공격자의 소행으로 추정된다.
공격에 사용된 웹셸을 비롯한 대부분의 악성코드들은 공개된 툴이기 때문에, 툴 자체만으로는 두 사례의 연관성을 넘어 공격자의 정체를 특정하기는 어렵다. 다만, Ladon, Fscan, MeshAgent, SuperShell 등은 과거부터 중국어를 사용하는 공격자들이 자주 악용해온 툴로 알려져 있어, 공격자의 특성을 유추할 수 있는 간접적인 단서로 볼 수 있다.
[그림 1] 흐름도
1. Initial Access
초기 침투 방식은 정확히 알 수 없지만, 다음과 같은 경로들에 웹셸이 설치된 것을 보면 웹 서버의 파일 업로드 취약점을 악용한 것으로 추정된다. 공격자는 설치된 웹셸을 이용해 탐색 명령들을 실행한 후 추가 페이로드를 설치했다.
|
D:\WEB\*******\******\Data\Editor\File\g.asp |
* 전체내용은 아래에서 확인하세요.
![한 눈에 반한 예쁜 감성의 키보드♥ [프리미엄 리포터V]](https://img.danawa.com/images/attachFiles/6/837/5836204_1.jpeg?shrink=320:180)
![[리뷰] 샤오미 POCO M7 Pro 5G 리뷰120Hz 아몰레드에 원신도 부드럽게?! 이게 진짜 20만 원대 스마트폰?](https://img.danawa.com/images/attachFiles/6/837/5836920_1.jpeg?shrink=320:180)
![[포인트 마켓] LEADCOOL 120 PWM (화이트) x 3개](http://img.danawa.com/prod_img/500000/531/941/img/12941531_1.jpg?fitting=Large|140:105&crop=140:105;*,*)
