오라클 제품의 취약점 통해 모네로 채굴되고 있다

E-Business Suite와 PeopleSoft HR 등에서 발견된 취약점
채굴 코드 심으려는 해커들 사이에서 활발하게 악용되고 있어

[보안뉴스 문가용 기자] 오라클의 웹로직(WebLogic) 애플리케이션 서버에서 발견된 취약점을 익스플로잇 하는 악성 캠페인이 발견됐다. 이 캠페인을 통해 범인들은 암호화폐인 모네로를 채굴하는 악성 코드를 심고 있다. 또한 거의 모든 산업군에서 이러한 공격이 현재 벌어지고 있다고 한다.

[이미지 = iclickart]

현재 이 악성 채굴 코드 캠페인이 발견된 국가는 미국, 호주, 홍콩, 인도, 말레이시아, 영국, 스페인이라고 보안 업체 파이어아이(FireEye)는 자사 블로그를 통해 공개했다. 이 캠페인을 발견한 건 파이어아이의 연구원인 라케시 샤르마(Rakesh Sharma), 아킬 레디(Akhil Reddy), 킴벌리 구디(Kimberly Goody)다.

이 불법 채굴자들이 익스플로잇 하고 있는 취약점은 CVE-2017-10271으로, 원격 코드 실행을 가능하게 해주는 버그다. 이 취약점의 영향을 받는 건 오라클 이비즈니스 스위트(E-Business Suite) 소프트웨어와 피플소프트HR(PeopleSoft HR)이다. 지난 해 말경에 패치가 됐지만, 크게 네 가지 방법으로 익스플로잇이 가능하다고 한다.

그중 하나는 1) 파워셸을 이용해 채굴 코드를 다운로드 받아 시스템에 곧바로 설치하는 것이다. 이 때 ShellExecute를 활용해 코드를 실행시킨다. 혹은 2) 원격 서버로부터 채굴 코드를 다운로드 받는 기능을 가진 파워셸 스크립트를 배포하는 전략도 있다.

하지만 리눅스 OS 시스템에서라면 위 두 가지 방법 외에도 3) 취약점을 통해 채굴 코드를 실행시키는 스크립트를 다운로드 받는 전략도 존재한다. 마지막으로는 4) 덤핑된 윈도우 크리덴셜들과 크리덴셜 추출 도구인 미미캐츠(Mimikatz), 윈도우 SMB 서버의 이터널블루(EternalBlue) 취약점을 활용해 네트워크 내에서 횡적으로 움직이며 채굴 코드를 심기도 한다. 이 네 가지 익스플로잇 전략은 실제로 범죄자들이 사용하고 있는 중이다.

이번 공격은 보안 업체 모퍼스랩스(Morphus Labs)의 수석 연구원인 레나토 마리노(Renato Marinho)와 SANS 테크놀로지 인스티튜트(SANS Technology Institute)의 회장인 요하네스 울리히(Johannes Ullrich)가 지난 달 발표한 XMRig 암호화폐 채굴 코드와 흡사하다. XMRig 역시 오라클 제품의 같은 취약점을 통해 모네로를 채굴하는 악성 코드였다.

파이어아이의 수석 분석가인 킴벌리 구디는 블로그를 통해 “CVE-2017-10271를 악용한 캠페인이 다수 진행되고 있는 것으로 보인다”며 “이번 연구 발표를 통해 특정 캠페인 하나가 아니라 이 취약점을 익스플로잇하는 해커들의 큰 트렌드를 네 가지로 나눠 짚어보고자 했다”고 밝혔다.

그러므로 SANS와 모퍼스 랩스가 이전에 발표했던 것과 이번에 파이어아이가 발표한 내용은 같은 제품의 같은 취약점을 익스플로잇 하는 것이지만, 다른 공격 캠페인에 관한 것이다. 그만큼 해당 취약점에 대한 익스플로잇이 해커들 사이에서 활발하게 연구 및 실행되고 있다는 뜻이 된다. 암호화폐를 채굴하려는 공격자들이 가장 많이 찾는 이 취약점에 대한 사용자들의 패치 적용이 시급히 요구되고 있다.
[국제부 문가용 기자(globoan@boannews.com)]

내년 회사에 꼭 도입하고 싶은 보안 솔루션 또는 플랫폼은 무엇인가요?
	XDR
	EDR
	AI 보안
	제로트러스트
	공급망 보안 체계(SBOM)
	클라우드 보안 솔루션
	기타(댓글로)