ClickCease Linux 시스템에 대한 문서화되지 않은 임플란트를 악용하는 ChamelGang

인기 뉴스레터 구독하기

4,500명 이상의 Linux 및 오픈소스 전문가와 함께하세요!

한 달에 두 번. 스팸이 없습니다.

Linux 시스템에 대한 문서화되지 않은 임플란트를 악용하는 ChamelGang

2023년 6월 30일 TuxCare 홍보팀

Stairwell의 사이버 보안 연구원들은 이전에 공개되지 않은 임플란트를 사용하여 Linux 시스템에 백도어를 설치하는 ChamelGang으로 알려진 위협 행위자를 발견했습니다. Stairwell에서 ChamelDoH라고 명명한 이 새로운 멀웨어는 C++를 활용하고 은밀한 통신을 위해 DNS-over-HTTPS(DoH) 터널링을 활용합니다. Linux 침입을 위해 특별히 설계된 툴입니다.

이들의 공격 기법에는 일반적으로 초기 액세스 권한을 얻기 위해 Microsoft Exchange 서버 및 Red Hat JBoss 엔터프라이즈 애플리케이션의 취약점을 악용하는 것이 포함됩니다. 그 후, 감염된 시스템에 영구 백도어를 설치하여 파일 업로드, 다운로드, 삭제, 셸 명령 실행과 같은 원격 액세스 작업을 용이하게 하기 위해 ChamelDoH를 배포합니다.

Stairwell에 따르면 ChamelDoH는 암호화된 DNS 쿼리를 사용하여 해커가 운영하는 명령 및 제어 서버와 통신합니다. 이 암호화는 멀웨어가 탐지를 피하고 손상된 시스템에 오랫동안 머무르는 데 도움이 되며, 시스템 정보를 수집하고, 모든 명령을 실행하고, 파일을 전송하고, 시스템 설정을 변경할 수 있습니다.

ChamelDoH의 주요 차별화 요소는 DoH를 사용하여 HTTPS 프로토콜을 통해 DNS 확인을 수행한다는 점입니다. 샤멜강은 DNS TXT 요청을 악성 네임서버로 전송함으로써 이 통신 방법의 암호화된 특성을 효과적으로 악용합니다. 이 기법은 클라우드플레어나 구글과 같이 일반적으로 사용되는 DoH 제공업체를 차단하면 합법적인 트래픽도 차단할 수 있기 때문에 보안 솔루션에 심각한 문제를 제기합니다.

Stairwell의 연구원 다니엘 메이어는 도메인 프런팅을 통한 명령 및 제어와 유사하다며 이 전술의 효과를 강조합니다. 이러한 요청은 콘텐츠 전송 네트워크(CDN)에서 호스팅되는 합법적인 서비스로 향하는 것처럼 보이므로 탐지 및 예방이 어렵습니다.

안전한 통신을 보장하기 위해 ChamelDoH는 AES128 암호화를 사용하여 하위 도메인으로 삽입할 수 있는 base64 형식으로 데이터를 인코딩합니다. 또한 임플란트는 명령 실행, 절전 간격 설정, 파일 다운로드, 파일 업로드, 파일 삭제, 파일 복사, 디렉터리 변경 등 다양한 기능을 갖추고 있습니다.

카멜강은 러시아, 미국, 인도, 네팔, 대만, 일본 전역의 에너지, 항공, 정부 부문의 조직을 표적으로 삼고 있는 것으로 알려졌습니다.

이 글의 출처는 TheHackerNews의 기사입니다.

요약
Linux 시스템에 대한 문서화되지 않은 임플란트를 악용하는 ChamelGang
기사 이름
Linux 시스템에 대한 문서화되지 않은 임플란트를 악용하는 ChamelGang
설명
이전에 공개되지 않은 임플란트를 사용하여 Linux 시스템에 백도어를 설치하는 카멜갱으로 알려진 위협 행위자.
작성자
게시자 이름
TuxCare
게시자 로고

Kernel 재부팅, 시스템 다운타임 또는 예정된 유지 보수 기간 없이 취약성 패치를 자동화하고 싶으신가요?

TuxCare로 라이브 패치에 대해 알아보기

TuxCare 게스트 작가 되기

시작하기

메일

가입

4,500

Linux & 오픈 소스
전문가!


뉴스레터 구독하기