최신 보안 동향

빠른 속도로 전파 중인 P2PInfect 악성코드

TACHYON & ISARC 2023. 9. 22. 09:15

최근 봇넷으로 알려진 "P2PInfect" 악성코드가 급속도로 전파 중인 정황이 발견됐다.

 

보안 업체 Cado Security는 확인된 건수가 지난 8월 말과 비교해 600배 증가했다고 언급하며 리눅스 환경에서 발견된 샘플의 분석 보고서를 공개했다. 공격자는 클라우드 서비스의 인스턴스를 노드로 구성하고 SSH를 사용해 악성코드를 유포한다. "P2PInfect" 악성코드는 피해자 시스템에서 스케줄러인 cron을 사용해 30분마다 기본 페이로드를 실행하도록 지속성을 설정한다. 또한, 로컬 호스트의 소켓으로 기본 페이로드의 메인 프로세스를 모니터링하며, 프로세스 종료로 바이너리가 삭제되면 다른 노드에서 메인 바이너리를 가져와 실행한다. 이 외에도 공격자의 SSH 키로 SSH Authorized keys 파일을 덮어써 허가된 사용자의 접속을 방지하며 관리자 권한을 획득해 다른 사용자의 비밀번호를 바꾸기도 한다.

 

Cado Security 측은 "P2PInfect"가 암호화폐 채굴을 시도한 이력이 있으며 빠른 속도로 성장하고 있어 주의가 필요하다고 전했다.

 

[P2PInfect 탐지 수 변화]

 

사진 출처 : Cado Security

 

출처

[1] Cado Security (2023.09.20) – Cado Security Labs Researchers Witness a 600X Increase in P2Pinfect Traffic

https://www.cadosecurity.com/cado-security-labs-researchers-witness-a-600x-increase-in-p2pinfect-traffic/