1. ATM 데이터를 훔치는 새로운 Unix rootkit
Reference: https://www.bleepingcomputer.com/news/security/new-unix-rootkit-used-to-steal-atm-banking-data/
LightBasin 해커 그룹에서 은행 카드 사기와 주요 시스템 손상을 중점으로 한 새로운 활동이 확인되었다. 새로운 루트킷은 Oracle Solaris OS를 실행하는 서버에 배포되는 Caketap 이라는 Unix 커널 모듈이다.
Caketap 은 네트워크 연결, 프로세스, 파일들을 숨기고 system function을 여러개 후킹하여 원격 명령 및 설정을 받는다. 명령은 아래와 같다.
- 로드된 모듈 리스트에
Caketap을 추가 - getdents64 hook을 위해 signal string 변경
- 네트워크 필터 추가
- 네트워크 필터 삭제
- 최근 스레드의 TTY를 세팅해서 getdents64 hook을 필터링 하지 않도록 함
- getdents64 hook에 의해 필터링 되도록 모든 TTY를 세팅
- 최근 설정을 표시
Caketap의 목표는 침입한 ATM 스위치 서버로부터 은행 카드와 PIN 검증 데이터를 훔치고, 훔친 데이터를 통해 부정 거래를 가능하게 하는 것이다.
2. Wormable 모듈의 새로운 Exploit을 포함한 DirtyMoe 봇넷
Reference: https://thehackernews.com/2022/03/dirtymoe-botnet-gains-new-exploits-in.html
DirtyMoe로 알려진 악성코드가 사용자의 상호작용 없이 확산될 수 있는 새로운 Worm 유사 전파 기능을 얻었다. 해당 웜 모듈은 EthernalBlue나 HotPotato Windows 권한 상승과 같이 잘 알려진 오래된 취약점을 목표로 한다.
DirtyMoe 는 2016년부터 활성화 되었으며 크립토재킹 및 DDoS 공격을 수행하는 데 사용되며, PurpleFox와 같은 외부 exploit 키트 또는 Telegram메신저의 설치 프로그램을 통해 배포된다. 또한 공격 절차 일부로 사용되는 DirtyMoe 서비스는 Core , Executioner 이라는 두가지 추가 프로세스를 트리거하며, 이들은 Monero 마이닝을 위한 모듈을 로드하고 웜같은 방식으로 악성코드를 확산한다.
웜 모듈은 여러 취약점을 사용하여 악성코드를 설치하는데 각 모듈은 수집된 정보 기반으로 특정 결함을 이용한다.
- CVE-2019-9082: ThinkPHP – 다중 PHP 주입 RCE
- CVE-2019-2725: Oracle Weblogic Server – AsyncResponseService 역직렬화 RCE
- CVE-2019-1458: WizardOpium 로컬 권한 상승
- CVE-2018-0147: 역직렬화 취약점
- CVE-2017-0144: EternalBlue SMB 원격 코드 실행(MS17-010)
- MS15-076: RCE에서 권한 상승 허용(Hot Potato Windows 권한 상승)
- 취약한 암호를 사용하는 MS SQL Server, SMB 및 WMI 서비스를 대상으로 하는 dictionary 공격
웜 모듈의 주요 목표는 관리자 권한으로 RCE를 하여 새로운 DirtyMoe 인스턴스를 설치하는 것이다.
'깔짝할짝' 카테고리의 다른 글
| 2022-03-22 Tue (0) | 2022.03.22 |
|---|---|
| 2022-03-21 Mon (0) | 2022.03.21 |
| 2022-03-16 Wed (0) | 2022.03.16 |
| 2022-03-14 Mon (2) | 2022.03.14 |
| 2022-03-09 Wed (0) | 2022.03.09 |