CISA와 FBI, 안드록스Gh0st 멀웨어 위협 경고
CISA와 FBI는 "표적 네트워크 내에서 피해자 식별 및 악용"을 위한 봇넷을 구축하는 데 사용된다는 점을 강조하면서 AndroxGh0st 멀웨어의 위협에 대한 경고를 공동으로 발표했습니다. 2022년 12월의 Lacework 보고서에서 처음 발견된 파이썬 기반 멀웨어인 AndroxGh0st는 AlienFox, GreenBot(일명 유지보수), 군단, 프레데터와 같은 유사한 툴을 생성했습니다.
이 클라우드 공격 툴은 알려진 보안 취약점이 있는 서버에 침입하여 라라벨 환경 파일에 액세스하는 데 능숙합니다. 그 후 AWS, Microsoft Office 365, SendGrid, Twilio와 같은 유명 애플리케이션의 크리덴셜을 탈취합니다. AndroxGh0st가 악용하는 주목할 만한 취약점으로는 CVE-2017-9841(PHPUnit), CVE-2021-41773(Apache HTTP 서버), CVE-2018-15133(라라벨 프레임워크) 등이 있습니다.
AndroxGh0st 멀웨어 기능
Lacework는 스캔, 노출된 자격 증명 및 API 악용, 웹 셸 배포를 통해 SMTP를 악용할 수 있는 AndroxGh0st의 기능을 강조합니다. 특히 AWS의 경우, 이 멀웨어는 AWS 키를 스캔하고 파싱할 뿐만 아니라 무차별 대입 공격을 위한 키를 생성하는 기능도 보유하고 있습니다.
유출된 AWS 인증 정보는 새로운 사용자, 사용자 정책을 생성하고 경우에 따라 추가 악성 스캐닝 활동을 위해 새로운 AWS 인스턴스를 설정하는 데 사용됩니다. 이러한 기능으로 인해 AndroxGh0st 멀웨어는 추가 페이로드를 다운로드하고 손상된 시스템에 대한 지속적인 액세스를 유지할 수 있는 강력한 위협이 됩니다.
SentinelLabs의 알렉스 델라모트는 클라우드에 초점을 맞춘 멀웨어 경고가 드물다는 점을 지적하며 이러한 유형의 위협에 대응한 CISA에 찬사를 보냅니다. 이 권고는 공격자가 웹 서버, 클라우드 서비스, CMS 및 SaaS 플랫폼을 침해하는 데 사용하는 FBot이라는 유사하지만 별개의 툴에 대한 SentinelOne의 폭로에 이어 나온 것입니다.
델라모트는 클라우드 위협 환경이 진화하고 있으며, AlienFox와 Legion과 같은 툴이 AndroxGh0st와 FBot의 코드를 전체적 에코시스템에 통합하고 있다고 강조합니다. 클라우드 서비스가 계속 수익을 창출함에 따라 스팸 공격을 위해 메일 서비스를 표적으로 삼는 툴과 마찬가지로 특정 서비스를 위한 맞춤형 툴이 등장할 것으로 예상됩니다.
마지막 말
결론적으로, CISA와 FBI의 공동 권고문은 AndroxGh0st 멀웨어와 그 파생 멀웨어로 인한 위험이 점점 더 커지고 있음을 강조합니다. 이러한 공격은 알려진 취약점을 악용하는 데 중점을 두기 때문에 특히 클라우드 환경에서 사전 예방적인 사이버 보안 조치와 인식 제고가 필요합니다. 환경이 계속 진화함에 따라 이러한 정교한 클라우드 기반 공격으로 인한 위험을 완화하기 위해서는 협업과 인식이 여전히 중요합니다.
이 글의 출처는 TheHackerNews의 기사입니다.