블랙테크가 이용한 F5 BIG-IP 취약점(CVE-2022-1388) 관련 IOC 8개 발견

IOC:
cb1a536e11ae1000c1b29233544377263732ca67cd679f3f6b20016fbd429817
139.162.112.74
139.180.201.6
9603b62268c2bbb06da5c99572c3dc2ec988c49c86db2abc391acf53c1cccceb
108.160.138.235
3d18bb8b9a5af20ab10441c8cd40feff0aabdd3f4c669ad40111e3aa5e8c54b8
108.160.132.108
https://jfrog.com/blog/jfrog-discloses-3-remote-access-trojans-in-pypi/

요약:
JPCERT/CC가 일본 기관에서 발견된 F5 BIG-IP 취약점(CVE-2022-1388)을 이용한 공격 활동에 대한 확인을 받았습니다. 공격 코드 및 BlackTech에서 사용하는 TSCookie와 Bifrose와 같은 악성코드가 공격자가 사용하는 서버에서 발견되었습니다. 이전에 알려진 악성코드 외에도 새로운 악성코드 "Hipid"가 서버에서 발견되었습니다. Hipid는 리눅스 OS를 대상으로하며, ARM과 호환되는 CPU 아키텍처와 x64를 가진 두 가지 유형이 있습니다. 어떤 유형의 장치에서 실행되도록 설계되었는지는 확실하지 않지만, IoT 장치에서 실행될 수 있습니다. 이 악성코드는 C2 서버로부터 명령을 받아 임의의 명령을 실행하는 기능이 있습니다.

내용:
약 2022년 5월, JPCERT/CC는 한국 기관이 F5 BIG-IP 취약점(CVE-2022-1388)을 이용해 공격했다는 것을 확인했다. 대상 기관은 BIG-IP에서 데이터가 유출되었음을 확인했다. 우리는 이 공격이 BlackTech 공격 그룹의 활동과 관련이 있다고 생각한다.

이 블로그 글에서는 BIG-IP 취약점을 이용한 공격 활동에 대해 설명한다.

BIG-IP 취약점을 이용한 공격 코드

아래는 공격에 사용된 코드의 일부이다. 이 공격 도구를 사용하면 공격자는 BIG-IP에서 임의의 명령을 실행할 수 있다.

그림 1: 확인된 BIG-IP 취약점을 이용한 코드의 일부

그림 1에서 회색 부분에서 볼 수 있듯이, 공격 코드에는 다수의 한국 BIG-IP IP 주소가 목록되어 있으며, 이것은 공격 대상이었다. 그리고 공격 코드 및 BlackTech가 사용하는 TSCookie와 Bifrose와 같은 악성코드는 공격자가 사용하는 서버에서 발견되었다.

그림 2: 공격 코드가 설치된 서버

이미 알려진 악성코드 외에도, 이 서버에서 새로운 식별되지 않은 악성코드가 발견되었다. 이에 대해서는 다음 절에서 설명한다.

Hipid

이 악성코드는 Linux OS를 대상으로하며, ARM과 호환되는 CPU 아키텍처와 x64 두 가지가 있다. 어떤 종류의 장치에서 실행하도록 설계되었는지는 명확하지 않지만, IoT 장치에서 실행하려는 것으로 보인다.

그림 3: 악성코드 코드의 일부 (왼쪽: ARM 유형, 오른쪽: x64 유형)

이 악성코드는 C2 서버에서 명령을 수신하고 임의의 명령을 실행하는 기능이 있다. 시스템 콜 대신 호스트 명령을 사용하여 호스트 이름을 해석한다.

그림 4: 호스트 명령을 실행하는 코드의 일부

데이터 전송에서도 두 가지 유형이 있다. 하나는 RC4 암호화를 사용하여 데이터를 전송하고, 다른 하나는 그대로 데이터를 전송한다. 암호화에 사용된 S-Box 데이터를 서버로 전송하는 특수한 동작을 하는 전자의 일부 샘플이 있다.

그림 5: S-Box 데이터를 서버로 전송하는 코드의 일부.....

Open New Windows

블랙테크가 이용한 F5 BIG-IP 취약점(CVE-2022-1388) - JPCERT/CC Eyes | JPCERT 종합정보 센터 공식 블로그:
https://blogs.jpcert.or.jp/en/2022/09/bigip-exploit