Mirai 봇넷 악성코드 배포에 Spring4Shell 악용돼

Hackers Exploiting Spring4Shell Vulnerability to Deploy Mirai Botnet Malware

 

최근 공개된 치명적인 Spring4Shell 취약점이 2022년 4월 초부터 싱가폴 지역에서 Mirai 봇넷 악성코드 배포하기 위해 활발히 악용되고 있는 것으로 나타났습니다.

 

Trend Micro의 연구원인 Deep Patel, Nitesh Surana, Ashish Verma는 지난 금요일 보고서를 발표해 아래와 같이 밝혔습니다.

 

"공격자가 Mirai 샘플을 '/tmp' 폴더에 다운로드하고 'chmod'를 사용하여 권한을 변경한 후 이를 실행할 수 있습니다."

 

CVE-2022-22965(CVSS 점수: 9.8)로 등록된 이 취약점은 공격자가 기본 설정이 아닌 상황에서 Spring Core 애플리케이션에서 원격으로 코드를 실행할 수 있도록 허용해 공격자는 해킹된 기기에 대한 모든 권한을 얻을 수 있습니다.

 

이러한 악용은 이번 주 초 미국의 CISA에서 알려진 악용된 취약점 카탈로그에 Spring4Shell 취약점을 추가한 후 발생했습니다.

 

 

<이미지 출처: https://www.trendmicro.com/en_us/research/22/d/cve-2022-22965-analyzing-the-exploitation-of-spring4shell-vulner.html>

 

 

봇넷 운영자가 그들의 공격 툴 세트에 새로이 공개된 취약점을 재빠르게 추가한 것은 이번이 처음은 아닙니다. 2021년 12월, Mirai 및 Kinsing을 포함한 여러 봇넷이 Log4Shell 취약점을 활용하여 인터넷에서 취약한 서버를 해킹하는 것으로 나타났습니다.

 

일본어로 "미래"라는 뜻을 가진 Mirai는 IP 카메라 및 라우터와 같은 네트워크로 연결된 스마트 홈 장치를 계속해서 공격하며, 이를 감염된 기기로 이루어진 네트워크인 ‘봇넷’에 추가시킵니다.

 

IoT 봇넷은 이렇게 하이재킹한 하드웨어를 사용해 대규모 피싱 공격, 암호화폐 채굴, 클릭 사기, DDoS(분산 서비스 거부) 등 여러 공격에 사용될 수 있습니다.

 

2016년 10월 Mirai의 소스코드가 유출되면서 Okiru, Satori, Masuta, Reaper와 같은 수많은 변종이 생겨났으며 이들은 끊임없이 변화하는 새로운 위협이 되었습니다.

 

올 1월 초, 사이버 보안 회사인 CrowdStrike는 Linux 시스템을 공격하는 멀웨어가 2020년에 비해 2021년에 35% 증가했으며 XOR DDoS, Mirai, Mozi 악성코드 제품군이 올해 관찰된 Linux 타깃 위협의 22% 이상을 차지한다고 밝혔습니다.

 

연구원들은 "이러한 악성코드 패밀리의 주요한 목적은 취약한 인터넷 연결 장치를 해킹하고, 이를 봇넷에 추가해 DDoS(분산 서비스 거부) 공격을 수행하는 것"이라 밝혔습니다.

 

현재 알약에서는 해당 악성코드 샘플에 대해 ‘Trojan.Linux.Generic.245740’로 탐지 중입니다.

 

 

 

 

출처:

https://thehackernews.com/2022/04/hackers-exploiting-spring4shell.html

https://www.trendmicro.com/en_us/research/22/d/cve-2022-22965-analyzing-the-exploitation-of-spring4shell-vulner.html (IOC)