미국의 CISA와 FBI에서 “AndroxGh0st” 악성코드의 침해 지표와 기술 정보를 발표하면서 주의할 것을 권고했다. “AndroxGh0st” 악성코드는 웹사이트의 자격 증명을 탈취하거나 봇넷을 생성하는 Python 스크립트이다. CISA와 FBI 측은 해당 악성코드가 사용한 3개의 원격 코드 실행 취약점과 공격 방식을 공개했다.
첫 번째로 CVE-2017-9841로 번호가 매겨진 취약점을 이용해 PHPUnit 모듈을 공격한다. 해당 취약점은 PHPUnit 모듈에서 HTTP POST 요청에 있는 PHP 코드를 제대로 검증하지 않아 발생한다. 이를 이용한 공격자는 통합 자원 식별자(URI)를 이용해 악성 파일을 다운로드하거나 악성 웹사이트를 만들어 백도어로 사용하는 등의 공격을 한다.
두 번째는 오픈 소스 웹 프레임워크인 Laravel 애플리케이션을 대상으로 공격한다. 주로 애플리케이션 프레임워크에서 자격 증명과 토큰이 저장된 .env 파일을 탈취하거나 웹사이트를 검색하는 봇넷을 생성한다. 또한, 탈취한 애플리케이션 키를 이용해 암호화한 PHP 코드를 XSRF-TOKEN으로 사용한다. 이때, Laravel 애플리케이션에서 XSRF-TOKEN 값을 제대로 처리하지 않아 발생하는 취약점을 이용해 공격하며, CVE-2018-15133으로 알려졌다.
마지막으로 Apache 웹 서버를 공격하는 방식이 있다. 번호가 CVE-2021-41773으로 지정된 취약점은 Apache 웹 서버에서 경로 탐색 문자열을 제대로 처리하지 않아 발생한다. 공격자는 취약점을 이용해 웹사이트에서 AWS 자격 증명을 식별한 사례가 있으며, 해당 자격 증명이 손상된 경우 새로운 사용자와 사용자 정책을 생성하기도 했다. 이후 추가 공격에 사용할 새로운 AWS 인스턴스를 생성한 정황도 발견됐다.
CISA와 FBI는 “AndroxGh0st” 악성코드의 공격을 예방하기 위해 모든 운영 체제와 소프트웨어 및 펌웨어의 버전을 최신 상태로 유지할 것을 권고했다.
사진 출처 : CISA
출처
[1] CISA (2024.01.16) – Known Indicators of Compromise Associated with Androxgh0st Malware
https://www.cisa.gov/news-events/cybersecurity-advisories/aa24-016a
'최신 보안 동향' 카테고리의 다른 글
| 다시 돌아온 Bumblebee 악성코드 (0) | 2024.02.14 |
|---|---|
| 우크라이나 업체를 공격하는 Solntsepek 해커 그룹 (0) | 2024.01.19 |
| Zimbra 제로데이 취약점을 이용한 국제 정부 기관 공격 (0) | 2023.11.21 |
| KeePass 사이트를 사칭하는 Google Ads 캠페인 발견 (0) | 2023.10.20 |
| 미국 적십자를 사칭하는 AtlasCross 백도어 악성코드 (0) | 2023.10.04 |