상세 컨텐츠

본문 제목

크립토마이너로 윈도우 및 리눅스 시스템을 하이재킹하는 새로운 Sysrv 봇넷 발견

국내외 보안동향

by 알약4 2022. 5. 18. 09:00

본문

New Sysrv Botnet Variant Hijacking Windows and Linux with Crypto Miners

 

마이크로소프트가 윈도우 및 리눅스 시스템에 코인 마이너를 설치하기 위해 웹 애플리케이션 및 데이터베이스의 보안 취약점 다수를 악용하는 새로운 srv 봇넷 변종에 대해 경고했습니다.

 

새 버전은 Sysrv-K라 명명되었으며, 이는 웹 서버를 제어하기 위해 일련의 익스플로잇을 무기화합니다.

 

이 크립토재킹 봇넷은 2020 12월 처음으로 등장했습니다.

 

마이크로소프트는 트위터를 통해 아래와 같이 밝혔습니다.

 

"Sysrv-K는 인터넷을 스캔해 다양한 취약점이 존재하는 웹 서버를 찾아 자기 자신을 스스로 설치합니다.”

 

"취약점은 경로 탐색, 원격 파일 유출, 임의 파일 다운로드, 원격 코드 실행 등 범위가 넓습니다.”

 

해당 취약점에는 악성 요청을 통해 원격 호스트에서 임의 원격 실행을 허용하는 Spring Cloud Gateway의 코드 삽입 취약점인 CVE-2022-22947(CVSS 점수: 10.0) 또한 포함됩니다.

 

CVE-2022-22947이 실제 공격에서 악용되어 미 CISA에서는 해당 취약점을 알려진 악용 취약점 카탈로그에 추가했습니다.

 

Sysrv-K의 주요 차이점은 WordPress의 구성 파일과 해당 백업을 검색해 데이터베이스 크리덴셜을 가져온 다음 웹 서버를 가로채는 데 사용한다는 것입니다. 또한 이는 Telegram Bot을 활용하기 위해 C2 통신 기능을 업그레이드했다고 밝혔습니다.

 

일단 감염되면, 이는 피해자 시스템에서 사용 가능한 SSH 키를 통해 측면 이동을 실행하며 악성코드의 복사본을 또 다른 시스템에 배포하고 봇넷의 크기를 확장시켜 효과적으로 전체 네트워크를 위험에 빠뜨립니다.

 

지난 해, Lacework Labs 연구원은 이와 관련하여 아래와 같이 밝혔습니다.

 

"Sysrv 악성코드는 이미 알려진 취약점을 악용하여 크립토재킹 악성코드를 확산시킵니다.”

 

"공격자가 시스템을 해킹하는 것을 막기 위해서는 공개된 애플리케이션의 보안 패치가 최신 상태로 유지되어야 합니다.”

 

마이크로소프트는 조직이 인터넷에 노출된 서버를 보호하는 것 이외에도 적시에 보안 업데이트를 적용하고 크리덴셜을 보호하여 위험을 줄이도록 권고했습니다.

 

현재 알약에서는 해당 악성코드 샘플에 대해 ‘Trojan.Downloader.Shell.Agent’로 탐지 중입니다.

 

 

 

 

출처:

https://thehackernews.com/2022/05/new-sysrv-botnet-variant-hijacking.html

https://www.lacework.com/blog/sysrv-hello-expands-infrastructure/ (IOC)

https://tanzu.vmware.com/security/cve-2022-22947

관련글 더보기

댓글 영역