“z0miner” adını alan tehdit aktörünün, daha fazla saldırı için madenciler, ağ araçları ve komut dosyaları gibi kötü amaçlı yazılımları dağıtmak amacıyla Kore WebLogic sunucularına saldırdığı tespit edildi.
Bu tehdit aktörünün Atlassian Confluence, Apache ActiveMQ, Log4j ve çok daha fazlası gibi savunmasız sunuculara saldırma geçmişi var.
Tencent'teki araştırmacılar bu tehdit aktörünü ilk olarak 2020'de keşfetti. “z0miner” tehdit aktörü, Oracle WebLogic sunucularına karşı CVE-2020-14882 ve CVE-2020-14883'ü istismar etmesiyle tanınıyor.
Ancak ASEC araştırmacılarına göre son hedefleri Kore WebLogic sunucularıydı ve FRP (Fast Reverse Proxy), NetCat ve AnyDesk gibi araçların izleri mevcuttu.
Kötü amaçlı yazılım analizi hızlı ve basit olabilir. Size şu yolu göstermemize izin verin:
- Kötü amaçlı yazılımlarla güvenli bir şekilde etkileşime geçin
- Linux'ta ve tüm Windows işletim sistemi sürümlerinde sanal makine kurulumu
- Bir takımda çalışın
- Maksimum veriyle ayrıntılı raporlar alın
Tüm bu özellikleri şimdi sandbox'a tamamen ücretsiz erişimle test etmek istiyorsanız: ..
ANY.RUN'da kötü amaçlı yazılımları ücretsiz analiz edin
Teknik Analiz
Cyber Security News ile paylaşılan raporlara göre tehdit aktörü, zayıf güvenlik yapılandırması ve sunucu bilgilerinin yaygın şekilde açığa çıkması nedeniyle bu Kore WebLogic sunucularından yararlandı.
Tehdit aktörü bu sunucuların Tomcat sürümünü ve sunucu sürümünü keşfedebilir.
Bu bilgiler toplandıktan sonra tehdit aktörleri, bu bilgilerden daha fazla yararlanmak için WebShell, FRP ve NetCat gibi çeşitli araçları kullandı.
.webp)
Kullanım Yöntemleri
Web Kabuğu
Tehdit aktörü, savunmasız sisteme bir JSP web kabuğu yüklemek için WebLogic güvenlik açığı CVE-2020-14882'yi kullanarak sistem üzerinde kalıcılık ve kontrol sağladı.
JSP Dosya Tarayıcısı, Shack2 ve Behinder gibi üç web kabuğu dağıtıldı. Üstelik bu web kabuklarının hiçbiri kötü amaçlı yazılımdan koruma ürünleri tarafından algılanmadı.
.webp)
Hızlı Ters Proxy (FRP)
Bu araç, RDP (Uzak Masaüstü İletişimi) protokol iletişimi için kullanıldı. Ek olarak, hem varsayılan frpc hem de özelleştirilmiş bir sürüm kullanıldı.
Varsayılan frpc, *.INI biçiminde bir ayar dosyası yükler ve bağlantı kurmaya çalışır; özelleştirilmiş frpc ise tek bir dosya kullanılmadan çalıştırılabilir.
.webp)
NetCat
Netcat, bir ağ bağlantısı üzerinden veri okuma ve yazma yeteneğine sahiptir ve birçok web kabuğunda bulunmuştur.
Araçlar, güvenlik duvarını atlamalarına ve hedeflenen sistem üzerinde kontrol sahibi olmalarına olanak tanıyan bir uzak kabuk özelliği sağlar.
.webp)
Madenler (XMRig)
z0miner tarafından kullanılan XMRig sürümleri Windows ve Linux için farklıdır. XMRig 6.18.0 Windows'ta, 6.18.1 ise Linux'ta kullanıldı.
Tehdit aktörü, Miner'da kalıcılık sağlamak için Görev Zamanlayıcı'yı (schtasks) veya WMI'nin olay filtresini kullandı ve bunu belirli bir Pastebin adresinden bir PowerShell komut dosyasını okuyacak ve yürütecek şekilde yapılandırdı.
.webp)
Tehdit aktörü ayrıca Monero Cüzdan ve Madencilik Havuzu adresini de kullandı.
AnyDesk ayrıca tehdit aktörü tarafından web kabuğunun parçası olarak kullanılan araçlardan biriydi ancak yalnızca Apache ActiveMQ güvenlik açığından (CVE-2023-46604) yararlanıldığı durumlarda kullanıldı.
Uzlaşma Göstergeleri
Dosya Algılama
- HackTool/Win.Netcat (2022.10.18.03)
- Win-Trojan/Miner3.Exp (2022.06.24.02)
- İndirici/Shell.Miner.SC197168 (2024.02.27.01)
- Veri/JSON.Miner (2024.02.27.01)
- Veri/JSON.Miner (2024.02.27.01)
- Truva Atı/PowerShell.Miner (2024.02.27.01)
- Trojan/Script.z0Miner.SC197169 (2024.02.27.01)
- Truva Atı/Win.FRP (2024.02.27.01)
- Trojan/Shell.Miner.SC197170 (2024.02.27.01)
- Trojan/Shell.Miner.SC197171 (2024.02.27.01)
- Trojan/Shell.Agent.SC197172 (2024.02.27.01)
- İndirici/Shell.Miner.SC197173 (2024.02.27.01)
- WebShell/JSP.Generic.S1866 (2024.02.27.00)
- Linux/CoinMiner.Gen2 (2022.11.24.02)
- WebShell/JSP.FileBrowser.SC197174 (2024.02.27.01)
- WebShell/JSP.Generic.S1957 (2024.02.27.00)
- Trojan/Shell.Agent.SC197175 (2024.02.27.03)
- İndirici/PowerShell.Miner (2024.02.27.03)
- CoinMiner/Shell.Generic.S2078 (2024.02.27.00)
- İndirici/PowerShell.Miner.SC197176 (2024.02.27.01)
MD5
- 523613a7b9dfa398cbd5ebd2dd0f4f38 : userinit.exe(Netcat)
- 2a0d26b8b02bb2d17994d2a9a38d61db : x.rar(XMRig, exe)
- 4cd78b6cc1e3d3dde3e47852056f78ad : al.txt
- 085c68576c60ca0361b9778268b0b3b9 : (config.json)
- b6aaced82b7c663a5922ce298831885a : (config.json)
- 7b2793902d106ba11d3369dff5799aa5: cpu.ps1
- ad33f965d406c8f328bd71aff654ec4c : frpc.ini
- 7e5cc9d086c93fa1af1d3453b3c6946e: svcho.exe(frpc)
- e60d8a3f2190d78e94c7b952b72916ac : frp5.exe
- 8434de0c058abb27c928a10b3ab79ff8 : l.txt
- 90b74cdc4b7763c6b25fdcd27f26377f : l.txt
- 83e163afd5993320882452453c214932 : lcpu.txt
- a0766ad196626f28919c904d2ced6c85 : ll.txt
- 903fce58cb4bfc39786c77fe0b5d9486 : pan.rar(Shack2 WebShell)
- c2fb307aee872df475a7345d641d72da : s.rar(XMRig, ELF)
- 88d49dad824344b8d6103c96b4f81d19 : session.rar(Zubin WebShell)
- efc2a705c858ed08a76d20a8f5a11b1b : kabuk.rar(WebShell'in Arkasında)
- 98e167e7c2999cbea30cc9342e944a4c: solr.sh
- 575575f5b6f9c4f7149ed6d86fb16c0f : st.ps1
- 547c02a9b01194a0fcbfef79aaa52e38 : st2.txt
- fd0fe2a3d154c412be6932e75a9a5ca1: stt.txt
Komut ve Kontrol URL'si
(İndirme sunucuları olarak kullanılan ve kullanılan Kore web sunucuları yalnızca TIP'te gösterilmektedir.)
- 107.180.100[.]247:88
- 15.235.22[.]212:5690
- 15.235.22[.]213:59240
Perimeter81 kötü amaçlı yazılım korumasıyla Truva atları, fidye yazılımları, casus yazılımlar, rootkit'ler, solucanlar ve sıfır gün saldırıları dahil olmak üzere kötü amaçlı yazılımları engelleyebilirsiniz. Hepsi inanılmaz derecede zararlıdır ve ağınıza zarar verebilir.
Siber Güvenlik haberleri, Teknik İncelemeler ve İnfografiklerden haberdar olun. Bizi LinkedIn'de takip edin & heyecan.