[2019.08.06] WordPress 서비스를 이용한 리눅스 봇넷 백도어 다운로드 현황 포착

요약

- 악성코드 연구원 트위터 ID blackorbird 는 WordPress 를 이용한 다량의 공격 모의 정황을 포착하고 이를 Wpbot 그룹으로 칭함.

- 발견된 웹페이지(http[:]//formfactset.org:8082/static/backdoorGood.txt)에는 5만건의 넘는 WordPress 웹 사이트가 존재하며, 이 중 일부에서 리눅스 봇넷 백도어를 다운로드 됨을 확인.

 

- 관련 정보는 연구원의 GitHub 페이지 및 트위터 계정에서 확인 가능 

(1) Github : https://github.com/blackorbird/APT_REPORT/tree/master/data/wordpress

(2) Twitter : https://twitter.com/blackorbird/status/1158395875997057025

- 해킹으로 추측되는 WordPress URI 리스트 원문: hxxp://formfactset.org:8082/static/backdoorGood.txt 

- 확인된 악성코드 다운로드 URI

hxxp://mongol-kino.mn/wp-content/uploads/2019/07/IcYbJa

hxxps://indojayaprimergy.com/wp-content/plugins/apikey/3JQoFf

hxxps://free-food.000webhostapp.com/wp-content/uploads/2019/06/vULqz9

hxxps://tgm.tgmapartments.com/hack/f190Iw

hxxp://boutique.liberal.ca/wp-content/uploads/2019/06/8puk0P

hxxps://www.georgevaults.com/wp-content/uploads/2019/05/WOtgUS

hxxp://www.skoda-bohemiamotors.pl/wp-content/uploads/2019/05/bunIjd

- 봇넷 멀웨어 : 샘플은 Github 페이지에서 다운로드 가능

47d704b79364e2ab333e614c166d0b7d (https://www.virustotal.com/gui/file/0f4755f65c495d3711bf22271f85f1ee86da8b7a487e770f769af56e189be48c/detection)

db08d343049c733a97bccaf394db56a2 (https://www.virustotal.com/gui/file/a316d81976b82d3d6cee974ba4dd5333506d2c93a7f0b2e5cd8e1a75bb325a1b/relations)

- 감염경로

워드프레스 취약점을 악용한 공격으로 플러그인의 취약점을 이용한 공격으로 추정

일부 워드프레스 사용 피해자 컨택 결과, 잘 알려지지 않은 플러그인을 설치했던 것 이외에 특이사항을 발견하지 못함.

※ 감염 시, 해당 도메인(hxxp://formfactset.org)으로 정보를 전송하는 것으로 추정 (링크)

탐지룰 존재유무

- 네트웍 보안장비 탐지룰 : 현재 없음

- 백신 및 APT탐지 : FireEYE (o), AhnLab (x)

FireEYE : Trojan.Zyx.FEC3

TrendMicro : Trojan.Linux.ZYX.USELVEE19

Symantec : Trojan.Gen.2

참고자료

출처 : https://twitter.com/blackorbird/status/1158395875997057025

         https://github.com/blackorbird/APT_REPORT/tree/master/data/wordpress