Аналитический центр AhnLab Security (ASEC) обнаружил атаки угрожающих субъектов на уязвимые корейские серверы WebLogic. Один из таких случаев связан с агентом угрозы под названием 'z0Miner', который был впервые обнаружен китайской компанией Tencent Security. Эти угрожающие субъекты имеют опыт распространения майнеров на различные уязвимые серверы и часто упоминались в блоге ASEC. Они также известны использованием уязвимостей CVE-2020-14882 и CVE-2020-14883 для атак на серверы WebLogic.
z0Miner Botnet
Лаборатория AhnLab обнаружила случаи распространения вредоносного ПО 'z0Miner' на корейскую серверную систему WebLogic. Методы загрузки вредоносных файлов различались в зависимости от операционной системы: для Windows использовались powershell.exe и certutil.exe, а для Linux - команда curl.
Случаи атак, обнаруженные в этот раз, отличаются от предыдущих случаев за рубежом. Агенты угроз доминируют над уязвимыми корейскими веб-серверами и используют их в качестве серверов загрузки. Также обнаружены доказательства использования сетевых инструментов, таких как FRP, NetCat и AnyDesk.
Угрожающий агент 'z0Miner' использует уязвимости WebLogic, такие как CVE-2020-14882, для загрузки JSP WebShell. В системе WebShell может быть установлена персистентность, и она позволяет получить полный контроль над системой. Агенты угроз также использовали различные типы WebShell, включая JSP File Browser, Shack2 и Behinder. Для атаки на корейские серверы WebLogic угрозы использовались три функции WebShell: печать информации о компьютере, файловый менеджер и выполнение команд.
Кроме использования WebShell, угрожающие агенты также использовали инструменты типа Fast Reverse Proxy (FRP) для связи с серверами по протоколу удаленного рабочего стола (RDP). FRP используется для защищенного обмена данными, но в руках злоумышленников он может быть использован для скрытия атак и несанкционированного доступа к системам. Угрожающие агенты 'z0Miner' использовали как стандартный Frpc, так и его адаптированную версию.
Indicators of Compromise
IPv4 Port Combinations
- 107.180.100.247:88
- 15.235.22.212:5690
- 15.235.22.213:59240
MD5
- 085c68576c60ca0361b9778268b0b3b9
- 2a0d26b8b02bb2d17994d2a9a38d61db
- 4cd78b6cc1e3d3dde3e47852056f78ad
- 523613a7b9dfa398cbd5ebd2dd0f4f38
- 547c02a9b01194a0fcbfef79aaa52e38
- 575575f5b6f9c4f7149ed6d86fb16c0f
- 7b2793902d106ba11d3369dff5799aa5
- 7e5cc9d086c93fa1af1d3453b3c6946e
- 83e163afd5993320882452453c214932
- 8434de0c058abb27c928a10b3ab79ff8
- 88d49dad824344b8d6103c96b4f81d19
- 903fce58cb4bfc39786c77fe0b5d9486
- 90b74cdc4b7763c6b25fdcd27f26377f
- 98e167e7c2999cbea30cc9342e944a4c
- a0766ad196626f28919c904d2ced6c85
- ad33f965d406c8f328bd71aff654ec4c
- b6aaced82b7c663a5922ce298831885a
- c2fb307aee872df475a7345d641d72da
- e60d8a3f2190d78e94c7b952b72916ac
- efc2a705c858ed08a76d20a8f5a11b1b
- fd0fe2a3d154c412be6932e75a9a5ca1