빠르게 성장하는 새로운 봇넷, KashmirBlack 발견

KashmirBlack, a new botnet in the threat landscape that rapidly grows

 

Imperva의 보안 연구원들이 정교한 새 봇넷을 발견했습니다. KashmirBlack라 명명된 이 봇넷은 콘텐츠 관리 시스템(CMS) 플랫폼의 취약점을 악용하여 이미 웹사이트 수십만 곳을 감염시킨 것으로 나타났습니다.

 

KashmirBlack 봇넷은 지난 2019년 11월부터 활성화된 것으로 추측되며, 운영자는 타깃 서버 내 존재하는 취약점 수십 개를 악용했습니다.

 

전문가들은 KashmirBlack 봇넷의 봇 마스터로 인도네시아 해커 크루 “PhantomGhost”의 멤버이자 “Exect1337”이라는 닉네임을 사용하는 해커를 지목했습니다.

 

전문가들은 전 세계 30개국의 피해자 수천만 명을 공격한 하루 평균 수백만 건의 공격을 관찰했습니다.

 

“이 봇넷은 하나의 명령 및 제어 서버에서 관리하는 복잡한 작업을 수행하며, 인프라의 일부로 (대부분이 무고한) 서버 60대를 사용하고 있었습니다. 이는 봇 수백 대 이상을 처리하고, 새로운 타깃을 전달받고, 브루트포싱 공격을 수행하고, 백도어를 설치하고, 봇넷 사이즈를 확장시키기 위해 C2 서버와 통신합니다.”

 

 

<이미지 출처: https://www.imperva.com/blog/wp-content/uploads/sites/9/2020/10/Figure-14-KashmirBlack-%E2%80%98spreading-bot-infection-flow-diagram-.gif>

 

 

KashmirBlack 봇넷의 주요 목적은 가상화폐 채굴을 위해 해킹된 시스템의 리소스를 사용하고, 사이트의 합법적인 트래픽을 스팸 페이지로 리디렉션하는 것입니다.

 

전문가들은 봇넷이 발견된 이후로 복잡도가 점점 증가하며 계속해서 성장한다는 것을 발견했습니다.

 

지난 5월, 전문가들은 C2 인프라의 증가와 봇넷 운영자가 사용한 익스플로잇을 발견했습니다.

 

KashmirBlack은 인터넷에서 취약한 CMS 버전을 사용하는 사이트를 찾아 알려진 취약점을 악용하여 해당 사이트가 설치된 서버를 장악하려 시도합니다.

 

아래는 이 봇넷이 악용한 WordPress, Joomla!, PrestaShop, Magneto, Drupal, vBulletin, osCommerce, OpenCart, Yeager를 포함한 CMS 플랫폼 내 취약점 목록입니다.

- PHPUnit RAT – CVE-2017-9841

- jQuery 파일 업로드 취약점 – CVE-2018-9206

- ELFinder 명령 인젝션 – CVE-2019-9194

- Joomla! 원격 파일 업로드 취약점

- Magento 로컬 파일 포함 취약점 – CVE-2015-2067

- Magento Webforms 업로드 취약점

- CMS Plupload 임의 파일 업로드 취약점

- Yeager CMS 취약점 – CVE-2015-7571

- 플랫폼 다수 내 플러그인 다수에 존재하는 취약점 다수 [링크]

- WordPress TimThumb RFI 취약점 – CVE-2011-4106

- Uploadify RCE 취약점

- vBulletin 위젯 RCE – CVE-2019-16759

- WordPress install.php RCE

- WordPress xmlrpc.php 로그인 브루트포싱 공격

- WordPress 플러그인 다수 RCE [링크]

- WordPress 테마 다수 RCE [링크]

- Webdav file upload 취약점

 

 

이 봇넷에 대한 침해 지표(IoC)는 연구원들의 두 번째 리포트에서 확인하실 수 있습니다.

 

 

 

 

출처:

https://securityaffairs.co/wordpress/110014/cyber-crime/kashmirblack-botnet.html

https://www.imperva.com/blog/crimeops-of-the-kashmirblack-botnet-part-i/