Sysrv-hello 봇넷, 공격에 14개의 취약점 추가적으로 악용해

 

 

仅仅一周，那个打鸡血的Sysrv-hello僵尸网络又多了14种漏洞武器

 

 

Tencent Security Threat Intelligence Center는 작년 12월에 발견된 Sysrv-hello 봇넷이 최근 매우 활발하게 활동하고 있음을 감지했습니다. 

트로이목마, 백도어, 웜과 같은 다양한 악성 소프트웨어에 대한 포괄적인 공격 기능을 갖추고 있는 Sysrv-hello 봇넷의 공격 대상은 Linux와 Windows 운영 체제를 모두 포함합니다. 

Tencent Security는 올해 1월, Sysrv-hello 봇넷이 Weblogic 원격 코드 실행 취약점(CVE-2020-14882)을 사용하여 확산된다는 사실을 발견했습니다. 

2021년 3월에 Sysrv-hello 봇넷은 5가지 새로운 공격 방법을 추가했으며 14개의 새로운 취약점이 공격에 악용되었습니다. 

새로운 변종은 매우 짧은 시간 안에 14개의 새로운 취약점을 악용한 공격 방법을 웜 전파 모듈에 통합했습니다. 

분석 결과 이전 버전의 Sysrv-hello 봇넷에서 사용된 네트워크 인프라는 기본적으로 상대적으로 고정되어있는 반면, 악성 페이로드의 호스트 사이트는 자주 변경되었으며 최근 사용된 IP 및 도메인 주소는 다음과 같습니다.

 

194.40.243.98
45.145.185.85
31.42.177.123
31.210.20.120
185.239.242.71
185.239.242.70
finalshell.nl

 

Trojan.Linux.CoinMiner'로Sysrv-hello 봇넷의 최종 페이로드는 여전히 마이닝 트로이목마이며 페이로드가 실행된 후 Monero 마이닝을 위해 [kthreaddi] 모듈이 릴리스됩니다. 

클라우드 호스트가 Sysrv-hello 봇넷 바이러스에 감염되면 웜 확산 모듈과 채굴기 모듈이 많은 CPU 리소스를 차지하게 되어 클라우드 호스트의 정상적인 비즈니스 운영에 심각한 영향을 미칠 수 있습니다. 

Sysrv-hello 봇넷은 정부 기관이나 기업에서 일반적으로 사용되는 대부분의 웹서비스를 통해 유포되며 새로운 취약점을 악용한 공격 방법이 업그레이드되면서 감염된 호스트의 수가 크게 증가한 것으로 나타났습니다. 

텐센트의 보안 전문가는 감염된 호스트가 계속해서 다른 대상을 검색하고 공격할 수 있는 만큼, 관련 단위의 보안 운영 및 유지 관리 담당자가 각별히 주의해야 한다고 경고했습니다.

 

현재 이스트시큐리티 알약에서는 해당 악성코드 샘플에 대해 'Trojan.Linux.CoinMiner'로 탐지 중입니다.

 

 

 

 

 

출처:

https://s.tencent.com/research/report/1272.html 

https://s.tencent.com/research/report/1259.html

https://s.tencent.com/research/report/1234.html