이 캠페인은 감염된 서버에 남기는 Bash 스크립트로 식별되며, 이는 8UsA.sh로 불립니다. 그러나 최초의 인시던트는 2018년에 관측되었고, 최근 공격은 2020년에 시작되었습니다. 침해된 서버는 명령 및 제어 서버에 연결되어 특정 아키텍처를 위해 컴파일된 DDoS 멀웨어 샘플을 다운로드합니다. C2 통신이 포트 5555에서 수행되고, DDoS는 텔넷(TCP port 23)에서 실행됩니다. 메인 C2는 지금은 서비스를 제공하지 않는 Frantech Solutions에서 호스팅하는 것으로 나타났습니다.
911(Nine-One-One) 캠페인은 Sora라는 이름의 널리 알려진 Mirai 변종을 배포하고 있습니다. 2020년 4월 초부터 활발한 활동을 보이기 시작한 이 캠페인은 4개월 이상 IoT 디바이스를 공격했습니다. 최근 보고서에 따르면, 이 Sora 변종은 Huawei와 Dasan GPON 라우터에서 각각 원격 코드 실행과 인증 우회 취약점을 악용합니다. 이 변종의 또 다른 특성은 0xDEDEFBAF의 값을 가지는 XOR 암호화 키입니다. 멀웨어 프로세스의 각 문자열은 이 키를 사용하여 메모리에서 암호 해독되며, 메모리 기반 탐지를 회피하기 위해 즉시 다시 암호화됩니다. 이 봇넷 캠페인의 이름은 배포된 멀웨어 바이너리인 "911"에서 유래했으며, 확장자는 피해자의 아키텍처에 따라 지정됩니다.
더 많은 자료를 보려면 CERT.PL (폴란드어), TrendMicro를 방문하세요.
B3astMode는 SSH 서버, Huawei HG532 라우터, IoT 디바이스 등을 공격하는 Mirai 기반 DDoS 봇넷입니다. 이 캠페인에서 공격자는 무차별 대입을 이용해 SSH 서버 해킹을 시도합니다. 시도가 성공하는 경우 피해자 아키텍처에 따르면 공격자는 C&C 서버에 연결하고 B3astMode라는 이름의 악성 페이로드를 다운로드한다고 합니다.
공격의 봇넷 네트워크 확장을 위해 이 멀웨어는 다음의 2가지 원격 코드 실행(RCE) 취약점 악용을 시도합니다.
이러한 디바이스를 침해함으로써 공격자는 실행된 TCP 및 UDP 플러드 공격의 볼륨을 증폭합니다. 작성 당시 이 공격의 잠재적 피해 디바이스는 약 20만대 였습니다.
추가 자료는 아래의 링크를 참조하세요.
BashLegend는 UzzySenpai라는 해커가 운영하는 공격 캠페인입니다. 최초 공격 인시던트는 2020년 5월에 Guardicore 센서가 포착했지만, 최근의 집중 공격은 8월 말에 시작되었습니다.
이 캠페인에서 해커는 퍼블릭 SSH에 무차별 대입을 수행합니다. 연결에 성공하면 해커는 명령 및 제어 서버에서 .0803이라는 실행 가능 파일을 다운로드합니다. 이 파일은 RootHelper라는 오프 소스 툴의 난독화 버전인데, GitHub의 설명에 따르면 "감염된 Linux 시스템에서 권한 에스컬레이션 프로세스를 지원"합니다.
그 후 JSON 구성과 함께 XMRig Monero 마이너가 다운로드됩니다. 이 캠페인이 시작된 이후 지금까지 관측된 사용 월렛은 단 하나입니다(89QZqpUHJBUJTYWKXxcHMrWrsJNVhKLUh2EmYd9KbBkmNhY6MNcJc8BJJ89QE621aLWuffSWHe2y7cA9up7t2kohJH42rWY).
BashLegend의 암호화폐 채굴기는 감염된 시스템의 CPU 코어 수를 이용해 작업자의 이름을 부여하는데(예: 1-Squad, 4-Squad), 이를 통해 피해 시스템의 특성 관련 인사이트를 확보할 수 있습니다. 일부 활성 작업자에는 60-Squad라는 이름이 부여되며, 이는 60개의 CPU 코어를 가진 최소 하나의 피해 시스템이 공격 받았음을 시사합니다. 루마니아에서 발생한 최초의 공격 인시던트와 함께 공격 파일에서 관측된 문자열은 BashLegend 운영자가 루마니아 출신임을 강력하게 시사합니다.
Bins는 DDoS 공격 캠페인 계열입니다. 이들이 확산시키는 멀웨어는 Mirai 변종이며 UDP 및 TCP Flood, IP 스푸핑 등 다양한 기능을 갖추고 있습니다. 일부 멀웨어 샘플은 SSH 데몬 프로세스나 경량 SSH 서버 'DropBear’로 위장합니다. 멀웨어 파일의 다양한 이름(mips, mipsel, sh4, x86, armv6l, i686, powerpc, i586, m68k, sparc, armv4l, and armv5l)을 통해 공격 대상 아키텍처를 정확하게 파악할 수 있습니다.
추가 자료는 아래의 링크를 참조하세요.
Dota는 SSH 무차별 대입을 이용해 Linux 머신을 공격 목표로 삼는 암호화폐 채굴 캠페인입니다. 작성 당시 이 봇넷은 1년 넘게 활동 중이었습니다. 페이로드에는 다양한 시스템 아키텍처와 웜 모듈, 내부 네트워크 스캐닝, 멀웨어 추가 확산 등을 위한 Monero 크립토마이너가 포함됩니다. 감염 후 Dota는 자체 SSH 키를 authorized_keys에 작성하여 루트 암호를 변경하고 백도어를 생성합니다. 또한 디스크 공간, CPU 모델, 가용 메모리, 심지어 설치된 크론 잡(Cron Job) 등과 같은 시스템 정보를 읽습니다.
랜섬웨어 공격은 소셜 엔지니어링, 피싱 이메일, 악성 이메일 첨부 파일 또는 네트워크 경계의 취약점에 의해 발생하는 초기 유출로부터 시작됩니다. 멀웨어는 네트워크를 통해 이동하기 시작하면서 상륙 지점부터 최대한 피해를 주려고 시도합니다. 일반적으로 공격자는 도메인 컨트롤러를 장악하고 인증정보를 감염시킨 후에 데이터 백업을 찾아 암호화함으로써 감염되고 중단된 서비스를 운영자가 복원하지 못하도록 합니다.
2019년 말부터 GGSN에서 관측된 FaNeL 암호화폐 채굴 캠페인은 루마니아에 본거지를 두고 있는 한 개인 해커가 운영하는 것으로 보입니다. FaNeL은 시스템의 SSH 서비스를 침해하여 시스템을 감염시키고, 다양한 스크립트를 다운로드하여 가용 리소스(CPU 메모리 및 디스크 공간)를 분석하며, XMRig 크립토마이너를 실행합니다. FaNeL의 공격 툴(대표적으로 ASN 접두사, 암호 목록 및 속도 테스트 스크립트)은 다른 공격 그룹과 아마추어 해커들이 이용할 수 있습니다. Guardicore가 포착한 일부 공격은 ‘Human’으로 태그되는데, 이는 이 해커가 공격 흐름과 효율성을 여전히 테스트하고 평가하고 있음을 시사합니다.
FritzFrog는 2020년 1월부터 활동하고 있는 독특하고 정교한 P2P 봇넷입니다. 무차별 대입을 이용해 SSH 서버를 침해하면서 해커는 Golang으로 작성된 복잡한 웜 멀웨어를 배포합니다. 퍼블릭 SSH 키 형태의 백도어가 피해 시스템의 authorized_keys 파일에 추가됩니다. 이 멀웨어는 포트 1234에서 즉시 수신을 시작해 네트워크 피어의 명령을 수신합니다. FritzFrog 멀웨어는 실행되는 Linux 시스템에서 CPU 디맨딩 프로세스를 종료시켜 경쟁자들을 제거합니다.
자세한 내용은 블로그 게시물을 참조해 주세요.
GhOul은 6월부터 Guardicore의 센서에서 관측되는 DDoS 캠페인입니다. 하지만 이것은 훨씬 이전인 2월 경에 관측되었습니다. GhOul은 DDoS 멀웨어로 Linux 기반 시스템을 감염시키기 위해 SSH에서 확산됩니다. 이 멀웨어는 다양한 아키텍처를 위해 컴파일된 Mirai 기반이며, Helios 및 Hakai 변종과 유사힙니다(아래 링크 참조). C2 명령 목록에는 "TCP, SYN, ACK, XMAS, STOMP, UDPREG, UDPHEX, UDPRAW, HTTPSTOPM, HTTP, VSE, STD, OVH, STOP, KILL" 등이 포함되며, 모두 다양한 페이로드 형식을 이용하는 여러 프로토콜의 DDoS인 것으로 보입니다. Guardicore의 센서가 포착한 대부분의 공격은 프랑스 OVH에 속하는 시스템에서 비롯되었습니다. 명령 및 제어 서버(캠페인의 활성 기간 중 8대가 관측됨)는 독일, 프랑스, 이란에 위치한 시스템입니다. C2 통신은 DDoS 대상 목록 수신에 필요하므로 포트 3333에서 수행됩니다.
추가 자료는 아래의 링크를 참조하세요.
k8h3d 공격 캠페인은 측면 이동을 확보하기 위해 EternalBlue를 활용하는 웜 모듈과 Monero 크립토마이너를 결합합니다. 처음에 공격은 MS-SQL을 통해 피해 시스템에 침입합니다. 그런 다음 공격자는 암호 "k8d3j9SjfS7"로 "k8h3d"라는 이름의 새 사용자를 생성하고, MS-SQL 시스템 관리자 암호를 임의의 문자열로 변경합니다. 백도어 사용자가 생성되면 공격자가 이를 이용해 SMB에서 시스템에 연결하고 다수의 악성 스크립트와 바이너리 파일을 남깁니다. 여기에는 대표적으로 드롭퍼, 트로이 목마, Monero 크립토마이너, EternalBlue 웜 등이 포함됩니다. 악성 페이로드는 "Autocheck", "Autoscan", "Bluetooths", "DnsScan", "WebServers", "Ddriver" 등과 같은 이름으로 예약된 작업과 서비스를 설치하여 계속 남아있게 됩니다. 또한 시스템 정보가 공격자의 명령 및 제어 서버로 전송되고, 서버에서 추가 페이로드를 다운로드하여 실행할 수 있습니다.
추가 자료는 아래 링크를 참조하세요.
최근에 포착된 ARM 바이너리의 조사를 통해 Mirai 봇넷이 사용하는 멀웨어의 확산 지원과 감염을 위해 CVE-2021-44228을 적용한 사실이 밝혀졌습니다. 이전 Akamai 블로그에서 언급된 바와 같이, CVE-2021-44228은 Log4j의 인증되지 않은 RCE(Remote Code Execution) 취약점입니다.
이 취약점은 여러 가지 Log4j 버전과 이를 이용하는 애플리케이션에 영향을 줍니다. 여기에는 Apache Struts2, Apache Solr, Apache Druid, Apache Flink 등이 포함됩니다. 앞서 언급한 것처럼 이러한 취약점에 대비한 패치 적용을 강력하게 권장하며, Akamai는 공격 방어에 도움이 되는 룰세트를 고객에게 배포했습니다.
자세한 내용은 블로그 게시물을 참조해 주세요.
이것은 SSH에서 피해 시스템을 감염시키는 꽤 일반적인 Monero 마이닝 봇넷 캠페인입니다. 일단 서버가 감염되면 단순한 Bash 스크립트가 크립토마이너 페이로드(gzip 압축 파일)를 다운로드합니다. 이를 아카이빙하지 않으면 결국 새 폴더 .ssh와 파일 2개(sshd라는 이름의 실행 가능한 마이너와 JSON 구성)가 생성됩니다. 6개월의 수명(현재까지) 동안 HashVault 풀에서 관측된 대로 공격자는 이 캠페인을 통해 약 1,200달러를 벌었습니다.
운영자들은 다음과 같은 단일 월렛을 사용해 Monero 코인을 모았던 것으로 보입니다. 454Bkqa8C2GXCA3mFaPu1P6z3zwTqZjaRc1bB1gWVjkmBLJDcVbbE3VH6e3eKY78ihZYhFH63poLQ5Uvs65ukhV291DqCmk Guardicore Global Sensors Network에 대한 공격이 미국과 독일에 위치한 6개의 다른 IP에서 비롯되었습니다. 공격 인시던트의 횟수는 월 20건 이하에서 4월에는 100건 이상으로 증가했습니다.
Nansh0u는 전 세계의 Windows MS-SQL과 phpMyAdmin 서버 감염을 목적으로 하는 중국 기반의 캠페인입니다. 침해된 시스템에는 의료, 통신, 미디어, IT 분야 기업 소유의 5만 대 이상의 서버가 포함됩니다. 일단 감염되면 공격 대상 서버는 악성 페이로드에 감염됩니다. 그러면 이 페이로드는 크립토마이너를 남기고 정교한 kernel 모드 루트킷을 설치해 멀웨어가 종료되는 것을 막습니다.
많은 다른 캠페인과 달리 이 캠페인은 암호화폐 채굴 봇넷이 아닙니다. 여기서 공격자는 MySQL 무차별 대입을 이용해 피해 머신을 감염시키고 데이터베이스 암호화를 시도합니다. 다음과 같은 내용의 금품 요구 메시지가 ‘WARNING’이라는 테이블 내에 남겨집니다.
'손실된 데이터베이스를 복구하고 유출을 막으려면 비트코인 주소 1NdeFcTXpXvUxvWqPP988A4Txcv3LzXmif로 0.06 비트코인(BTC)을 보내고 귀사의 서버 IP 또는 도메인 이름을 이용해 결제 증명과 함께 이메일(recvr19@protonmail.com)로 연락 주십시오. 우리가 귀사의 데이터를 확보하고 있다고 확신하지 못한다면 증거를 보내드릴 것입니다. 귀사의 데이터베이스를 다운로드하여 우리 서버에 백업했습니다. 10일 이내에 결제하지 않으면, 귀사의 데이터베이스를 공개하거나 다른 방식으로 이용할 것입니다.'
작성 당시 30개 이상의 비트코인 월렛 주소가 금품 요구 메시지에 사용되었으며, 이들의 잔고는 0.689 BTC(약 6,250달러)입니다.
Smominru 봇넷과 그 변종(Hexmen 및 Mykings)은 2017년부터 활동 중입니다. 이 공격은 EternalBlue를 악용해 Windows 머신을 감염시키며, MS-SQL, RDP, Telnet 등을 비롯한 다양한 서비스에 무차별 대입을 실행합니다. 감염 후 단계에서 이 봇넷은 피해자 인증정보를 탈취하고, 트로이 목마 모듈과 크립토마이너를 설치하며 네트워크 내부에 확산시킵니다.
Uwush(또는 "Stokers")는 Mirai와 유사한 봇넷입니다. 최초 침해는 SSH에서 실행되고, 그런 다음에 "UwUsh"라는 Bash 스크립트가 다운로드되어 실행됩니다. 이 스크립트는 다양한 아키텍처용으로 빌드된 "Stokers"라는 UPX 패킹된 멀웨어를 다운로드하여 하나라도 성공하길 기대하면서 모두 실행합니다. 멀웨어의 기능은 다양한데, 그중 가장 눈에 띄는 기능은 UDP, HTTP, TCP의 다양한 패킷 유형에서의 DDoS입니다. 이 봇은 두 가지 명령 "KILLDROPPERS"와 "KILLBINS"를 지원해 경쟁자들(또는 구 버전의 멀웨어)을 제거합니다. Stoker의 문자열에서 관측되는 멀웨어 이름은 Ayedz, DEMONS, Execution, Fierce, Josho, Okami, Owari, Tsunami, apep, chiemi, fortnite, gemini, hoho, kowa, kratos, miori, mips.yakuza, mirai, miraint, shiro, sora, yakuza, z3hir 등이 있습니다. 목록의 각 멀웨어는 다양한 아키텍처를 위해 빌드되었으며, 이는 Mirai와 유사한 봇넷에서 전형적으로 나타납니다. 작성 당시 모든 인시던트는 접두사 89.42.133.0/24의 한 시스템에서 Uwush 스크립트를 다운로드했습니다.
Vollgar는 MS-SQL 서버를 실행하는 Windows 시스템 감염을 목표로 하는 장기적인 공격 캠페인입니다. 2018년 5월로 거슬러 올라가는 이 캠페인은 무차별 대입을 이용해 피해 머신을 침해하고, 여러 가지 백도어를 배포하며, 다기능 RAT(Remote Access Tool)와 암호화폐 채굴기 같은 수많은 악성 모듈을 실행합니다.
2017년 8월 17일에 여러 콘텐츠 전송 네트워크(CDN)와 콘텐츠 공급업체가 WireX라는 봇넷으로부터 심각한 공격을 받았습니다. 이 봇넷의 이름은 명령 및 제어 프로토콜의 구분 기호 문자열 중 하나에 대한 애너그램에서 따온 것입니다. WireX는 주로 악성 애플리케이션을 실행하는 Android 디바이스를 구성하며, DDoS(Distributed Denial-of-Service) 트래픽을 생성하도록 설계됩니다. 이 봇넷은 공격 대상을 향한 금품 요구 메시지와 연결되는 경우도 있습니다.
추가 자료는 여기를 방문하세요.
Yart7은 SSH 서버를 공격 대상으로 하는 DDoS 캠페인입니다. 이 봇넷은 SSH 서버에 무차별 대입을 실행해 확산됩니다. 로그인에 성공하면 공격자는 C&C 서버에 연결하여 피해 시스템의 아키텍처에 적합한 7rtya라는 악성 페이로드를 다운로드합니다. 일단 멀웨어가 실행되면 감염된 시스템은 텔넷 프로토콜(TCP 포트 23)을 통해 수십 만 개의 IP 주소로 DDoS 패킷을 전송하기 시작합니다. 2020년 9월 초에 이 캠페인이 시작된 이후로 불과 세 개의 소스 IP가 관측되었으며, 그중 2개의 근거지는 오스트리아입니다. 저희는 이 캠페인에 Yart7이라는 이름을 붙였는데, 이는 멀웨어 파일 이름의 전철 애너그램입니다.
오랫동안 알려진 이 공격 흐름은 2012년으로 거슬러 올라갑니다. 코어에서 이것은 URL을 매개변수로 수신하는 추가 페이로드의 드롭퍼(다운로더)입니다. 최초 유출은 무차별 대입을 이용해 MySQL에서 실행됩니다. 일단 데이터베이스 내부에 침투하면 공격자는 yongger2라는 새 테이블을 생성하고 드롭퍼의 바이너리 페이로드를 이 테이블에 작성합니다. 그런 다음 페이로드는 파일 ‘cna12.dll’에 저장되어 실행됩니다. DLL의 내보내진 기능 중 하나인 ‘xpdl3’을 이용해 추가 페이로드를 다운로드하고 piress라는 백도어 사용자를 생성합니다. 이 기법은 이미 널리 알려져 있으며, 최근 발표에 따르면 이 드롭퍼가 GandCrab 랜섬웨어를 배포하는 데 사용된 것으로 보입니다.
추가 자료는 아래의 링크를 참조하세요.
