CISA와 FBI, “유명 클라우드 애플리케이션의 크리덴셜 간수하라” 경고

입력 : 2024-01-18 16:32

사이버 공격자들이 라라벨 웹 애플리케이션 프레임워크를 이용해 클라우드 생태계를 거세게 노리는 중이다. 특히 크리덴셜을 탈취하려 애를 쓰고 있는데, 이를 허용하게 될 경우 공격자들에게 날개를 달아주는 것과 비슷한 효과가 생긴다.

[보안뉴스 문정후 기자] 미국의 사이버 보안 전담 기관인 CISA와 FBI가 손을 잡고 보안 경고문을 발표했다. 최근 아파치(Apache) 웹 서버와 웹사이트들을 겨냥한 멀웨어 유포 캠페인이 진행되고 있다는 내용이다. 공격자들은 라라벨(Laravel)이라는 웹 애플리케이션 프레임워크를 통해 각종 정보를 빼가기도 한다고 한다.


캠페인의 배후에 있는 공격자들이 궁극적으로 노리는 것은 AWS나 MS 365, 트윌리오, 센드그리드와 같은 사용자가 많은 애플리케이션들의 크리덴셜을 훔치는 것으로 분석됐다. 이 크리덴셜을 가지고 공격자들은 앱에 저장되어 있는 각종 민감 정보에 접근할 수도 있고, 아예 악의적인 목적으로 앱을 사용할 수도 있다. 크리덴셜 탈취 이후에는 공격자가 뭐든지 할 수 있다.

크리덴셜 위협과 남용
이 캠페인의 중요한 특징 중 하나는 안드록스고스트(Androxgh0st)라는 멀웨어가 사용된다는 것이다. 2022년 12월 보안 업체 레이스워크(Lacework)가 처음 발견해 세상에 알린, 그리 새롭지 않은 해킹 도구다. 파이선을 기반으로 하고 있으며, 크리덴셜이나 API 키 등 민감한 정보를 애플리케이션으로부터 찾아내고 추출하는 기능을 가지고 있다.

안드록스고스트는 라라벨이라고 하는 것을 공략한다. 이 라라벨은 일종의 오픈소스 PHP 웹 애플리케이션 프레임워크로 일반적인 웹 개발 임무를 수행할 때 널리 사용된다. 로우레벨 코드를 처음부터 작성하지 않아도 돼 개발자들 사이에서 인기가 높은 편이다. 라라벨 프레임워크 파일은 .env라는 확장자를 갖는데, 공격자들은 자주 이 .env 파일을 노린다. 크리덴셜이나 개발과 관련된 각종 기밀들이 저장되어 있는 경우가 많기 때문이다.

레이스워크에 의하면 안드록스고스트는 제대로 관리가 되지 않아 노출되어 있는 크리덴셜과 API를 찾아 가져가고, 침해된 시스템에 웹셸을 추가로 설치할 수 있다고 한다. 참고로 지난 해 3월에도 안드록스고스트 멀웨어가 .env 파일들을 노리고 공격을 퍼붓는 것이 보안 업체 포티넷(Fortinet)에 의해 발견되기도 했었다.

취약한 웹사이트를 찾아서
이번 안드록스고스트 캠페인의 경우 공격자들이 .env 파일만 노리는 건 아니다. FBI와 CISA의 경고에 의하면 공격자들은 특정 취약점을 찾아 계속해서 스캔을 실시하고 있다고도 한다. 여러 가지 취약점을 노리고 있는데 특히 많이 검색되는 건 CVE-2017-9841이라는 초고위험도 원격 코드 실행 취약점이다. PHP유닛(PHPUnit)이라고 하는 PHP 코드 실험 모듈에서 발견된 것이었다.

취약점이 발견되었다면 이를 익스플로잇 하여 여러 멀웨어를 심는다는 게 FBI와 CISA의 설명이다. 여기에 안드록스고스트도 포함되어 있지만 그것만이 유일한 것은 아니다. 침해된 장비는 공격자들이 운영하는 거대한 봇넷에 편입되고, 공격자들은 이 봇넷을 이용해 다른 공격 표적들에 존재하는 여러 취약점 정보 등을 수집한다. 참고로 CVE-2017-9841은 2017년 발견된 이후 현재까지 수백만 번 이상의 공격 시도가 있었다. 그만큼 인기가 높은 취약점이라는 뜻이다.

많은 경우 공격자들은 아파치 HTTP 서버(Apache HTTP Server) 2.4.49나 2.4.50 버전을 주로 찾아 스캔하는 것으로 관찰되고 있다. 이 버전의 서버들에서는 CVE-2021-41773이라는 경로 조작 취약점이 존재하는데, 바로 이걸 노리는 것으로 분석된다. 익스플로잇에 성공할 경우 공격자는 원격에서 코드를 실행할 수 있게 된다. CISA는 과거 이 취약점에 대한 경고를 따로 발표한 바 있다. 당시 중국의 해커들이 주로 익스플로잇 한다고 발표했었다.

이런 위협에 맞서려면 어떻게 해야 할까? CISA는 다음과 같은 몇 가지 대책을 내놓고 권유하고 있다.
1) 인터넷에 곧바로 연결된 시스템들의 경우 최신화 작업에 항상 신경 쓴다.
2) 꼭 필요한 서버와 서비스들만 인터넷에 직접 연결한다.
3) .env 파일이 어디에 얼마나 저장되어 있는지 전수 확인하고, 그 중에 크리덴셜 정보가 저장되어 있는 것이 무엇인지 알아낸다. 그런 다음 접근을 제한하는 등의 조치를 취한다.

3줄 요약
1. 유명 클라우드 기반 앱의 크리덴셜 노리는 캠페인이 시작됨.
2. 이 캠페인에서는 안드록스고스트라는 멀웨어가 사용되고 있음.
3. .env 파일이 사용되고 있다면 특히 이 파일들을 잘 살피는 것이 중요.
[국제부 문정후 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

문가용기자 기사보기

• “
•  SNS에서도 보안뉴스를 받아보세요!! 
• ”

• 조회순
• 추천순
• 스크랩순

• 1

  위험 수위 넘어 급속도로 확산되고 있는 딥페...

• 2

  친러 성향 해커 ‘서버 킬러스’, 서울·인천...

• 3

  2024년 가을, 정보보안 전문가 채용......

• 4

  FBI는 어떻게 사이버 범죄자들을 소탕했을까...

• 5

  슬랙 광고 클릭하면 설치되는 멀버타이징 공격...

• 1

  위험 수위 넘어 급속도로 확산되고 있는 딥페...

• 2

  [Security China 2024 취재記...

• 3

  [테크칼럼] 놀랍고 혁신적인 보안 기술 ‘엔...

• 4

  해킹그룹 어웨이큰리코, ‘메시에이전트’라는 ...

• 5

  친러 성향 해커 ‘서버 킬러스’, 서울·인천...

• 1

  윈도 다운그레이드를 통해 취약점을 부활시키는...

• 2

  [긴급] 삼성 일부 모바일 프로세서에서 취약...

• 3

  슬랙 광고 클릭하면 설치되는 멀버타이징 공격...

• 4

  OT 환경에서의 인증 취약점 악용 공격 급증...

• 5

  ‘건강검진 사칭’ 문자 주의보! 공식 문자에...