Linux 시스템에 대한 문서화되지 않은 임플란트를 악용하는 ChamelGang
Stairwell의 사이버 보안 연구원들은 이전에 공개되지 않은 임플란트를 사용하여 Linux 시스템에 백도어를 설치하는 ChamelGang으로 알려진 위협 행위자를 발견했습니다. Stairwell에서 ChamelDoH라고 명명한 이 새로운 멀웨어는 C++를 활용하고 은밀한 통신을 위해 DNS-over-HTTPS(DoH) 터널링을 활용합니다. Linux 침입을 위해 특별히 설계된 툴입니다.
이들의 공격 기법에는 일반적으로 초기 액세스 권한을 얻기 위해 Microsoft Exchange 서버 및 Red Hat JBoss 엔터프라이즈 애플리케이션의 취약점을 악용하는 것이 포함됩니다. 그 후, 감염된 시스템에 영구 백도어를 설치하여 파일 업로드, 다운로드, 삭제, 셸 명령 실행과 같은 원격 액세스 작업을 용이하게 하기 위해 ChamelDoH를 배포합니다.
Stairwell에 따르면 ChamelDoH는 암호화된 DNS 쿼리를 사용하여 해커가 운영하는 명령 및 제어 서버와 통신합니다. 이 암호화는 멀웨어가 탐지를 피하고 손상된 시스템에 오랫동안 머무르는 데 도움이 되며, 시스템 정보를 수집하고, 모든 명령을 실행하고, 파일을 전송하고, 시스템 설정을 변경할 수 있습니다.
ChamelDoH의 주요 차별화 요소는 DoH를 사용하여 HTTPS 프로토콜을 통해 DNS 확인을 수행한다는 점입니다. 샤멜강은 DNS TXT 요청을 악성 네임서버로 전송함으로써 이 통신 방법의 암호화된 특성을 효과적으로 악용합니다. 이 기법은 클라우드플레어나 구글과 같이 일반적으로 사용되는 DoH 제공업체를 차단하면 합법적인 트래픽도 차단할 수 있기 때문에 보안 솔루션에 심각한 문제를 제기합니다.
Stairwell의 연구원 다니엘 메이어는 도메인 프런팅을 통한 명령 및 제어와 유사하다며 이 전술의 효과를 강조합니다. 이러한 요청은 콘텐츠 전송 네트워크(CDN)에서 호스팅되는 합법적인 서비스로 향하는 것처럼 보이므로 탐지 및 예방이 어렵습니다.
안전한 통신을 보장하기 위해 ChamelDoH는 AES128 암호화를 사용하여 하위 도메인으로 삽입할 수 있는 base64 형식으로 데이터를 인코딩합니다. 또한 임플란트는 명령 실행, 절전 간격 설정, 파일 다운로드, 파일 업로드, 파일 삭제, 파일 복사, 디렉터리 변경 등 다양한 기능을 갖추고 있습니다.
카멜강은 러시아, 미국, 인도, 네팔, 대만, 일본 전역의 에너지, 항공, 정부 부문의 조직을 표적으로 삼고 있는 것으로 알려졌습니다.
이 글의 출처는 TheHackerNews의 기사입니다.