Wormable Gitpaste-12 Botnet Returns to Target Linux Servers, IoT Devices
타깃 시스템에 가상화폐 채굴기와 백도어를 설치하고 GitHub과 Pastebin을 통해 확산되는 웜 봇넷이 웹 애플리케이션, IP 카메라, 라우터를 해킹하기 위한 기능을 확장하여 돌아왔습니다.
지난달 초, Juniper Threat Labs의 연구원들은 악성코드를 호스팅하기 위해 GitHub을 사용하는 "Gitpaste-12"라는 가상화폐 채굴 캠페인을 발견했습니다.
이 악성코드는 Pastebin URL에서 다운로드한 명령을 통해 실행되는 알려진 공격 모듈 12개를 포함하고 있었습니다.
이 공격은 지난 10월 15일 시작해 10월 30일 Pastebin URL과 저장소가 중단되기 전까지 12일 동안 진행되었습니다.
Juniper에 따르면 11월 10일 두 번째 공격 웨이브는 다른 GitHub 저장소의 페이로드를 사용하여 시작되었습니다.
이 페이로드는 Linux 크립토마이너("ls"), 브루트포싱 시도를 위한 비밀번호 목록 파일 ("pass"), x86_64 리눅스 시스템에 대한 로컬 권한 상승 익스플로잇을 포함하고 있었습니다.
초기 감염은 Go 언어로 작성된 바이너리인 X10-unix를 통해 이루어집니다. 이는 GitHub에서 다음 단계 페이로드를 다운로드합니다.
Juniper의 연구원인 Asher Langton은 지난 월요일 발표한 분석을 통해 아래와 같이 밝혔습니다.
“이 웜은 알려진 취약점 최소 31개를 악용하여 웹 애플리케이션, IP 카메라, 라우터 등을 노리는 광범위한 공격을 수행합니다. 이 중 7개는 이전 Gitpaste-12 샘플에서도 찾아볼 수 있었습니다. 또한 오픈 Android Debug Bridge 커넥션 및 존재하는 악성코드 백도어를 해킹하려 시도합니다.”
이 취약점 31개 목록에는 올해 발견된 원격 코드 취약점인 F5 BIG-IP Traffic Management (CVE-2020-5902), Pi-hole Web (CVE-2020-8816), Tenda AC15 AC1900 (CVE-2020-10987), vBulletin (CVE-2020-17496), SQL 인젝션 취약점인 FUEL CMS (CVE-2020-17463)가 포함되어 있었습니다.
지난 10월, Mirai 봇넷의 새로운 변종인 Ttint가 DoS 공격, 악성 명령 실행, 원격 접근을 위한 리버스 셸 구현이 가능한 RAT을 확산시키기 위해 CVE-2020-10987을 포함한 Tenda 라우터 제로데이 취약점 2개를 악용하고 있는 것이 발견되었습니다.
이 악성코드는 X10-unix와 모네로 크립토마이닝 소프트웨어를 설치하는 것 이외에도 포트 30004와 30006을 리스닝하는 백도어를 오픈하고, 피해자의 외부 IP 주소를 개인 Pastebin에 업로드하고, 포트 5555에서 Android Debug Bridge 연결을 시도합니다.
성공적으로 연결될 경우 안드로이드 APK 파일인 "weixin.apk"를 다운로드합니다. 이는 X10-unix의 ARM CPU 버전을 설치합니다.
Juniper는 최소 100개 이상의 호스트가 이 감염을 전파하고 있는 것으로 추정했습니다.
현재 이스트시큐리티 알약(ALYac)에서는 해당 악성코드 샘플을 'Misc.Riskware.BitCoinMiner.Linux'로 탐지 중입니다.
출처:
https://thehackernews.com/2020/12/wormable-gitpaste-12-botnet-returns-to.html
새로운 Goontact 스파이웨어, 안드로이드 및 iOS 사용자 노려 (0) | 2020.12.17 |
---|---|
PyMICROPSIA 악성코드, 곧 리눅스와 macOS 노릴 것으로 예상돼 (0) | 2020.12.16 |
Molerats 그룹의 새로운 악성코드, 구글과 페이스북의 서비스 악용해 (0) | 2020.12.15 |
구글, 인증 시스템 중단으로 일시적으로 서비스 중단 돼 (0) | 2020.12.15 |
서브웨이 마케팅 시스템 해킹, TrickBot 악성 이메일 전송해 (0) | 2020.12.14 |
댓글 영역