리눅스 기반 멀웨어, IaC 도구들을 악용해 퍼지고 암호화폐 채굴

입력 : 2021-04-26 18:44

리눅스 장비들을 노리는 새로운 봇넷 멀웨어가 나타났다. 정상 바이너리와 IaC 도구들을 악용해 증식하며, 피해자 시스템에 안착해서는 기존 암호화폐 채굴 멀웨어를 다 지우고 새 것을 설치한다.

[보안뉴스 문가용 기자] 리눅스 기반 시스템을 표적으로 삼는 봇넷 멀웨어가 새롭게 등장했다. 재미있는 건 이 멀웨어에 토르 프록시, 정상 데브옵스 도구 악용, 다른 경쟁 멀웨어 삭제 등 현재 유행하는 다양한 기술이 탑재되어 있다는 것이다. 이러한 내용을 보안 업체 트렌드 마이크로(Trend Micro)가 정리해 발표했다.


이 멀웨어는 토르 기반 익명 네트워크에서 최초 침투 후 필요한 스크립트(post-infection script), 공격에 활용될 정상 바이너리 등 필요한 파일을 다운로드 받을 수 있다고 한다. 이렇게 필요한 것들을 다운로드 받은 후 이를 바탕으로 HTTP 요청을 전송하고, 감염된 시스템에 대한 정보를 수집하고, 프로세스를 실행시킬 수 있게 된다.

공격자들은 프록시들로 구성된 거대한 네트워크를 보유하고 유지함으로써 표면 웹과 토르 네트워크가 상호 연결 상태에 머물도록 하고 있다. 이 프록시들은 IP 주소, 아키텍처, 사용자 이름 등 피해자 시스템과 관련된 다양한 정보를 전송하며, 이를 통해 어떤 바이너리를 다운로드 할지가 결정된다. 트렌드 마이크로에 의하면 이런 식으로 악용된 프록시 서버의 진짜 주인들은 침해 사실을 모르고 있는 것처럼 보인다고 한다.

트렌드 마이크로의 설명에 따르면 이 리눅스 멀웨어는 다양한 시스템 아키텍처를 지원하며, 추가 파일을 다운로드 받아 공격을 지속하기 전에 여러 가지 확인 절차를 거친다고 한다. 이 때문에 트렌드 마이크로는 “공격자가 리눅스 시스템에 대한 대형 공격을 본격적으로 시작하기 전에 준비 단계를 거치고 있는 것으로 보인다”고 추정하고 있다. 물론 그 대형 공격의 궁극적인 형태와 목표는 아직 알 수 없다.

이 멀웨어의 가장 큰 특징은 특정 클라우드 기반 서비스와 에이전트들을 무력화시키고, ‘코드형 인프라(IaC)’ 도구들을 남용한다는 것이다. 여기에는 앤서블(Ansible), 셰프(Chef), 설트스택(SaltStack) 등이 포함되어 있다. 이렇게 특정 서비스와 도구들을 무력화시킨 후, 정상 도구들을 남용하여 멀웨어는 다른 시스템으로 퍼져 간다.

그렇게 피해자의 시스템에 안착한 후에는 XM리그(XMRig)라는 모네로 채굴 도구를 설치하기 위한 작업을 시작한다. 이 단계에서 가장 중요한 건 다른 채굴 멀웨어를 찾아내 삭제하는 것이다. 컴퓨팅 자원을 자신들이 독차지하겠다는 것이 공격자의 의도다.

트렌드 마이크로는 “이번에 발견된 멀웨어는 다른 멀웨어나 모듈을 추가로 설치해 증식하지 않는다”는 중요한 특징을 짚기도 한다. “리눅스 OS만 있으면 증식할 수 있습니다. ss, ps, curl과 같은 도구들을 다운로드 받기는 하는데, 이는 가끔 이런 도구들이 없는 리눅스 환경이 있기 때문입니다. 그런 점만 제외하면 대부분의 리눅스 환경에서, 있는 그대로의 도구들만으로 증식하고 정보를 수집하기에 충분한 멀웨어라고 볼 수 있습니다.”

해당 멀웨어의 보다 상세한 내용은 여기(https://www.trendmicro.com/en_us/research/21/d/tor-based-botnet-malware-targets-linux-systems-abuses-cloud-management-tools.html)서 열람이 가능하다.

3줄 요약
1. 새로운 리눅스 멀웨어 등장. 토르를 기반으로 하고 있음.
2. 리눅스 OS의 일반 도구들고 IaC 도구들 활용해 증식.
3. 증식 이후에는 기존 암호화폐 채굴 멀웨어 삭제하고, 모네로 채굴 위한 멀웨어 설치.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

문가용기자 기사보기

• “
•  SNS에서도 보안뉴스를 받아보세요!! 
• ”

• 조회순
• 추천순
• 스크랩순

• 1

  북 해커 조직 APT43, 드롭박스 악용한 ...

• 2

  SW 공급망 보안 가이드라인 1.0 발표.....

• 3

  코드 서명 절차를 안전하게 유지시키기 위한 ...

• 4

  독일 사이버 보안시장, 역동적인 투자로 성장...

• 5

  청년 목돈마련 돕는 홈페이지 사칭한 피싱 사...

• 1

  [퀴즈 이·보·소] 거듭되는 취약점에 대표가...

• 2

  메모리 안전 언어로 떠오르는 러스트의 라이브...

• 3

  주식투자 정보사이트 ‘아이투자’, 해킹으로 ...

• 4

  [보안 상장기업 주간 주가동향] 시장 기대치...

• 5

  웰시투자그룹, 자사 사칭 금전 사기 피해 주...

• 1

  한국형 전투기 KF-21 자료 유출하려다 걸...

• 2

  국가정보원, 국정원장 사칭 이메일 유포 주의...

• 3

  에스원, 출력물보안 서비스로 인쇄 출력물 통...

• 4

  2023년 가장 주목받은 사이버 위협 커뮤니...

• 5

  NSA의 제로트러스트 가이드라인, CISO는...