마이너 봇을 명령제어 서버로 악용하는 봇넷 ‘본드넷’, 최근까지 공격 이어가

고성능 마이너 봇넷에 리버스 RDP 환경 구축해 C2 서버로 이용
클라우드플레어 터널링 클라이언트·HFS 프로그램 실행

[보안뉴스 박은주 기자] 가상화폐 채굴을 목적으로 수천 개 서버로 구성된 대형 봇넷 ‘본드넷(Bondnet)’ 공격자가 최근까지 공격을 이어가고 있다. 이중 고성능 마이너 봇넷을 해킹 도구와 기술 집합체인 C2(Command & Control, 명령제어) 서버로 이용하는 정황이 드러났다.

▲본드넷 공격자가 마이너 봇넷을 C2 서버로 이용하는 정황이 드러났다[이미지=ASEC]

안랩 시큐리티 인텔리전스 센터(ASEC)에 따르면 본드넷 공격자는 2023년 이후부터 고성능 봇에 리버스 RDP 환경을 구축해 C2 서버로 이용하려는 움직임을 보였다. 이때 리버스 RDP(Reverse Remote Desktop Protocol)란 공격자가 피해자 컴퓨터에 접속해 데이터를 훔치거나 조작할 수 있는 상태를 말한다.

공격환경 구축을 위해서는 프록시 서버와 Fast Reverse Proxy(이하 FRP) 도구를 사용했다. FRP는 깃허브에 공개된 오픈소스 프록시 프로그램이다. 본드넷 공격자는 FRP 프로그램의 코드를 수정해 사용했다. 공격자가 수정한 FRP 프로그램 파일에는 공격자 프록시 서버 주소, 프로토콜, 포트, 토큰명 등 연결에 필요한 정보가 저장돼 있다.

공격자는 수정된 FRP 프로그램으로 리버스 RDP 환경을 구성한 후, 피해 시스템에 원격 데스크톱으로 접근했다. 이후 △클라우드플레어(Cloudflare) 터널링 클라이언트 △HFS(HTTP File Server) 프로그램을 실행했다.

▲공격자 C2 도메인의 IP 정보[자료=ASEC]

클라우드플레어 터널링 클라이언트는 시스템 특정 포트와 클라우드 플레어 네트워크에 매핑된 도메인 터널링을 지원한다. 본드넷 공격자 C2 도메인은 클라우드플레어에 등록돼 있다. 공격자는 클라우드플레어 터널링 클라이언트로 피해 시스템의 특정 서비스와 클라우드 플레어에 등록된 C2 도메인과 연결할 수 있다.

▲존재하지 않는 파일 요청 시 응답 페이지 (위쪽)테스트 페이지, (아래쪽) 공격자 C2[자료=ASEC]

HFS 프로그램은 실행 시 TCP 4000 포트로 파일 서버 서비스를 제공한다. HFS 프로그램에서 공격자 C2 환경과 공통점을 발견했다. 존재하지 않는 경로 요청 대한 응답 메시지와 디렉토리 경로 접근 시 발생하는 로그인 팝업 구성이 같았다는 것. ASEC는 분석 시점 C2에서도 동일한 HFS 프로그램이 동작하고 있었을 것으로 추정했다.

본드넷 공격자는 피해 시스템에 HFS 서비스를 생성하고, 클라우드플레어 도메인과 서비스를 터널링해 C2로 활용하려 했다. 그러나 피해 시스템에서 Go 언어로 작성된 HFS 프로그램이 환경적인 문제로 실행에 실패했고, 이후 C2로 전환까지는 확인되지 않았다. ASEC는 다음 정황을 토대로 공격자가 봇넷 시스템을 C2 서버로 활용하려는 것으로 보인다고 설명했다.

△리버스 RDP 연결 이후, 피해 시스템에서 정보 유출, 내부 이동 등에 관한 행위가 확인되지 않음
△피해 시스템에서 클라우드플레어 터널링 클라이언트와 HFS 프로그램을 실행함
△공격자 C2의 도메인은 클라우드플레어에 연결되어 있음
△HFS 프로그램과 공격자 C2의 UI가 동일함
△분석 시점에 공격자 C2에서 일부 악성 파일을 내려받을 수 없었음
△약 1달 뒤 공격자 C2가 UI가 변경되고, 신규 악성 파일, 삭제된 악성 파일이 복구됨

ASEC 측은 “본드넷 공격자는 끈질겼다”며, “해당 공격에 실패하고 약 1달 뒤 공격자 C2의 UI가 변경된 것으로 미루어 볼 때, 다른 봇을 이용해 C2 역할을 대체한 것으로 추정된다. 피해 시스템에서 문제가 된 HFS 프로그램 대신 다른 프로그램을 이용한 것으로 보인다”고 추정했다.
[박은주 기자(boan5@boannews.com)]

내년 회사에 꼭 도입하고 싶은 보안 솔루션 또는 플랫폼은 무엇인가요?
	XDR
	EDR
	AI 보안
	제로트러스트
	공급망 보안 체계(SBOM)
	클라우드 보안 솔루션
	기타(댓글로)