의료, 교육, 정부 부문을 공격하는 FritzFrog P2P 봇넷 발견

FritzFrog P2P Botnet Attacking Healthcare, Education and Government Sectors

 

P2P Golang 봇넷이 약 1년여 만에 다시 등장해 한 달 만에 의료, 교육, 정부 부문 서버 총 1,500개의 호스트를 감염시킨 것으로 나타났습니다.

 

Akamai에서 공유한 보고서에 따르면, FritzFrog라 명명된 이 분산형 봇넷은 SSH 서버를 노출하는 모든 장치(클라우드 인스턴스, 데이터 센터 서버, 라우터 등)를 노리며 감염된 노드에서 악성 페이로드를 실행할 수 있습니다.

 

이 새로운 공격 웨이브는 2021년 12월 초에 시작되어 한 달 만에 감염률이 10배나 증가했으며, 2022년 1월에는 하루 500건으로 정점을 찍었습니다. 보안 회사는 유럽 텔레비전 채널 네트워크, 러시아 의료 장비 제조업체, 동아시아의 여러 대학에서 감염된 기기를 탐지했다고 밝혔습니다.

 

FritzFrog는 2020년 8월 Guardicore에서 처음으로 문서화되었습니다. 해당 보고서에서는 그 해 1월 이후 유럽과 미국 전역에 걸쳐 500개 이상의 서버를 공격하고 감염시킨 봇넷의 기능에 대해 자세히 설명했습니다. 하지만 새로운 감염은 집중적으로 중국에서 발생하는 것으로 나타났습니다.

 

보안 연구원인 Ophir Harpaz는 2020년 이를 관찰했으며, "Fritzfrog는 네트워크를 통해 파일을 공유하는 기능을 사용하여 새로운 시스템을 감염시키고, Monero 크립토 마이너와 같은 악성 페이로드를 실행한다”고 밝혔습니다.

 

봇넷의 P2P(peer-to-peer) 아키텍처는 분산 네트워크의 모든 해킹된 시스템이 단일 중앙 집중식 호스트가 아닌 명령 및 제어(C2) 서버로 작동할 수 있다는 점에서 매우 탄력적입니다. 또한 봇넷이 재등장하면서 프록시 네트워크를 사용하고, WordPress 서버를 노리는 등 새로운 기능이 추가되었습니다.

 

감염 체인은 SSH를 통해 전파되어 악성코드 페이로드를 드롭한 후 C2 서버에서 수신한 명령을 실행하여 추가 악성코드 바이너리를 실행하고 시스템 정보와 파일을 수집한 후 이를 서버로 다시 보냅니다.

 

 

<이미지 출처 : https://www.akamai.com/blog/security/fritzfrog-p2p>

 

 

FritzFrog는 완전히 독점적인 P2P 프로토콜을 사용하는 것으로 잘 알려져 있습니다. 이전 버전의 악성코드 프로세스는 "ifconfig" 및 "nginx"로 위장했지만, 최근 변종은 "apache2" 및 "php-fpm"이라는 이름을 사용해 활동을 숨기려 시도합니다.

 

이 악성코드의 다른 새로운 특성에는 원격 서버에 자신을 복사하기 위해 SCP(Secure Copy Protocol) 사용, 나가는 SSH 연결을 마스킹하기 위한 Tor 프록시 체인, 후속 공격을 위해 WordPress 서버를 추적하는 인프라, Raspberry Pi 장치와 같은 저사양 시스템의 감염을 방지하기 위한 차단 목록 매커니즘 등이 있습니다.

 

“차단 목록에 있는 IP 중 하나는 러시아에 위치합니다. 오픈 포트 여러 곳과 패치되지 않은 취약점 목록이 많기 때문에 허니팟이 될 수 있습니다."

 

"또한 두 번째 항목은 오픈소스 봇넷 싱크홀을 가리킵니다. 이 두 항목은 운영자가 탐지 및 분석을 회피하려고 시도하고 있음을 나타냅니다."

 

악성코드가 SCP 기능을 포함하고 있기 때문에, 어디에서 유래되었는지에 대한 첫 번째 단서를 제공했을 가능성이 있습니다. Akamai는 Go로 작성된 라이브러리를 중국 상하이에 있는 사용자가 GitHub에서 공유했다고 지적했습니다.

 

이 악성코드를 중국과 연결지을 수 있는 두 번째 정보는 가상화폐 채굴에 사용된 새로운 지갑 주소 중 하나가 지난 9월 중국에서 운영자를 체포한 Mozi 봇넷 캠페인의 일부로 사용되었다는 것입니다.

 

연구원들은 아래와 같이 결론지었습니다.

 

"이러한 증거를 통해 공격자가 중국에서 활동하거나, 중국인으로 가장했을 수 있다고 추측할 수 있습니다.”

 

 

 

 

출처:

https://thehackernews.com/2022/02/fritzfrog-p2p-botnet-attacking.html

https://www.akamai.com/blog/security/fritzfrog-p2p