글로벌 보안 기업인 F5에서 아파치 스트럿 취약점을 이용하는 공격 행태를 공개했습니다. 이 공격은 다단계로 이뤄져 있으며 NSA가 주도하는 EternalBlue 와 EternalSynergy 익스플로잇을 통해 내부 네트워크를 노립니다. F5에서는 이 공격을 "질럿(Zealt)"이라고 칭했으며, 이는 파이썬 스크립트가 포함된 압축파일(ZIP)에서 따온 말이라고 합니다. 질럿 공격을 요약하면 다음과 같습니다.
- 목표: 윈도 및 리눅스 시스템
- 공격 방식: 다단계로 이뤄진 복잡한 공격 형태
- 이용하는 취약점
- CVE-2017-5638 - Apache Struts Jakarta Multipart Parser 공격
- CVE-2017-9822 - DotNetNuke(DNN) content management system 취약점
- 내부 네트워크로 잠입을 시도하기 위해 EnteralBlue와 EntenalSynergy 익스플로잇 활용
- 윈도우에서는 파워쉘, 리눅스에서는 파이선 에이전트를 활용하며, 난독화되어 있음. EmpireProject post-exploitation 프레임워크로 추정됨
- 사이버 범죄 시장에서 인기를 누리고 있는 Monero 가상 화폐 채굴
보다 자세한 사항은 아래 링크를 참고하세요.
고맙습니다.
새 트위터 글
TAG apache struts,
Apache Struts Jakarta Multipart Parser,
CVE-2017-5638,
CVE-2017-9822,
dnn,
DotNetNuke,
DotNetNuke(DNN) content management system,
EmpireProject,
EmpireProject post-exploitation,
Enteralblue,
EternalSynergy,
F5,
F5 Networks,
F5 네트웍스,
Monero,
Monero 채굴,
NSA,
NSA-attributed,
Zealot,
가상화폐,
가상화폐 채굴,
모네로,
아파치 스트럿츠,
이터널 시너지,
이터널블루,
질럿
