시트릭스 제품에서 발견된 취약점 통해 청소하는 해커 나타나

치명적 위험도를 가진 취약점...위험 완화 방법만 나오고 패치는 개발 중
한 해킹 그룹, 자신들의 백도어만 빼놓고는 피해자 시스템 청소 시작해

[보안뉴스 문가용 기자] 최근 발견되고 패치된 시트릭스(Citrix) 애플리케이션 배포 제어기(Application Delivery Controller, ADC) 취약점을 통해 한 해킹 그룹이 백도어를 심고, 다른 멀웨어들을 삭제하고 있다고 보안 업체 파이어아이(FireEye)가 발표했다.

[이미지 = iclickart]

문제의 취약점은 CVE-2019-19781로, 시트릭스에서 만든 ADC와 게이트웨이(Gateway) 제품군에서 발견됐다. 수주 전부터 이 취약점을 찾는 스캔 행위가 급증하더니, 얼마 전에는 개념증명용 익스플로잇이 등장해 사실상 실제 공격의 카운트다운이 시작되기도 했다. 게다가 시트릭스는 위험 완화 방법만을 공유했을 뿐 아직 패치 개발을 완료하지 못한 상태다.

파이어아이에 의하면 “이런 식으로 개념증명까지 공개된 취약점을 공격자들이 적극 공략하는 건 흔히 있는 일”이긴 하지만 “그런 취약점을 통해 멀웨어를 삭제하는 행위는 처음 보는 일”이라고 한다. “이 공격자들은 여태까지 한 번도 발견된 적이 없는 악성 페이로드인 낫로빈(NOTROBIN)을 퍼트리고 있습니다. 그러기 위해 기존에 알려진 다른 멀웨어들을 깨끗하게 치워내고 있고요. 낫로빈은 백도어의 일종으로 보입니다.”

이 독특한 공격자들은 CVE-2019-19781 취약점을 통해 셸 명령어를 실행한다고 한다. 그런 후 단일 HTTP POST 요청을 통해 익스플로잇이 이뤄지며, 이는 HTTP 404 응답을 유도해 낸다. 다음으로는 1행짜리 배시 스크립트가 실행되면서 암호화폐 채굴 코드를 삭제하고, 숨겨진 폴더를 만들어 낫로빈을 다운로드시킨다. 이로써 공격 지속성을 확보하는 것이다.

낫로빈은 고 언어로 작성되었으며, 1초마다 특정 파일을 스캔해 삭제한다. CVE-2019-19781을 익스플로잇 하려는 모든 시도를 차단하려는 것으로 보인다. 하지만 파일 이름이나 파일 내용 중에 하드코드 된 키가 포함되어 있을 경우, 그 파일은 삭제되지 않는다.

“원래는 넷스케일러(NetScaler) 템플릿에 있던 익스플로잇 코드를 삭제하면 위험이 어느 정도 완화됩니다. 하지만 공격자가 그 다음 차례 익스플로잇 시도 시 하드코드 된 키를 제공하면 페이로드가 사라지지 않습니다. 그러므로 공격자는 해당 장비에 다시 한 번 침투할 수 있게 되는 겁니다.” 파이어아이의 설명이다.

“또한 낫로빈의 바이너리들이 고유한 키들과 함께 배포되고 있다는 것을 발견하기도 했습니다. 배경에 루틴 프로세스를 새롭게 만들어 UDP 포트 18634번을 모니터링하기도 합니다. 그리고 해당 포트를 통해 들어오는 데이터를 자신도 접수합니다. 아마 누군가 이 취약점을 악용한 거대 캠페인을 기획 중인 것으로 보입니다.”

파이어아이는 낫로빈의 배후에 있는 자들이 후속 캠페인을 준비하고 있다는 것에 대해 꽤나 확신을 가지고 있다. “낫로빈은 공격자들의 백도어로서 기능을 발휘하고 있고, 비밀 키를 보유하고 있습니다. 그 외에 공격자들의 움직임은 보이지 않습니다. 오히려 시스템을 청소하고, 낫로빈 외 다른 모든 악성 요소들을 찾아 지우고 있죠. 뭔가 엄청난 꿍꿍이가 있는 게 분명합니다. 물론 대신 청소를 하기 위해 백도어를 심은 로빈후드와 같은 자가 있을 가능성도 없진 않지만, 그 가능성은 1% 미만이라고 봅니다.”

3줄 요약
1. 시트릭스 제품에서 발견된 치명적 취약점, 아직 패치 나오지 않음.
2. 한 공격 단체, 이 취약점 통해 백도어 심은 후 다른 악성 요소들 전부 청소함.
3. 혹시 악의 무리를 대신해 없애주는 로빈후드의 출현? 아니면 거대한 음모?
[국제부 문가용 기자(globoan@boannews.com)]

내년 회사에 꼭 도입하고 싶은 보안 솔루션 또는 플랫폼은 무엇인가요?
	XDR
	EDR
	AI 보안
	제로트러스트
	공급망 보안 체계(SBOM)
	클라우드 보안 솔루션
	기타(댓글로)