ClickCease 로그4쉘 취약점을 악용한 프리츠프로그 봇넷의 반격

콘텐츠 표

인기 뉴스레터 구독하기

4,500명 이상의 Linux 및 오픈소스 전문가와 함께하세요!

한 달에 두 번. 스팸이 없습니다.

로그4쉘 취약점을 악용한 프리츠프로그 봇넷의 반격

로한 티말시나

2024년 2월 13일 TuxCare 전문가 팀

정교한 봇넷 "프리츠프로그"의 새로운 변종이 등장하여 Log4Shell 취약점을 전파에 활용하고 있습니다. Log4j 취약점이 발견된 지 2년이 넘었지만 많은 조직에서 시스템 패치를 소홀히 하고 있기 때문에 공격자들은 계속해서 이를 효과적으로 악용하고 있습니다. 특히 이 봇넷은 패치가 부족할 수 있는 내부 네트워크의 겉보기에 안전해 보이는 부분을 표적으로 삼는 것으로 보입니다.

 

프리츠프로그 봇넷 이해

 

2020년 8월 Guardicore(현재 Akamai의 자회사)가 처음 발견한 프리츠프로그는 P2P(피어 투 피어) 봇넷으로, 주로 SSH 인증정보가 취약한 인터넷 접속 서버를 표적으로 삼습니다. 그 치명적인 특성으로 인해 널리 주목을 받았던 Log4Shell 취약점(CVE-2021-44228)은 현재 프리츠프로그가 2차 감염 벡터로 악용하고 있습니다. 인터넷에 연결된 서버를 표적으로 삼았던 이전 전략과 달리, 이 변종은 손상된 네트워크 내의 내부 호스트를 노리고 있습니다. 이러한 변화는 취약성이 낮아 보이는 내부 시스템도 공격의 주요 표적이 될 수 있기 때문에 포괄적인 패치 관리 관행의 중요성을 강조합니다.

이 변종의 주목할 만한 개선 사항 중 하나는 손상된 호스트의 시스템 로그를 분석하여 네트워크 내 취약점이 있는 잠재적 표적을 식별한다는 점입니다. 이는 인터넷에 연결된 애플리케이션을 패치하더라도 다른 엔드포인트가 침해되면 패치가 적용되지 않은 내부 시스템이 여전히 악용에 취약해져 멀웨어의 확산을 촉진할 수 있음을 의미합니다. 또한, 이 멀웨어는 이제 로컬 권한 상승을 위해 PwnKit 취약점(CVE-2021-4034 )을 악용하여 지속성과 도달 범위를 더욱 강화합니다.

또한 프리츠프로그 봇넷은 가능한 한 디스크에 파일을 드롭하지 않음으로써 설치 공간을 최소화하는 등 탐지를 피하기 위한 회피 전술을 사용합니다. 공유 메모리 위치를 활용하고 메모리 상주 페이로드를 실행함으로써 은밀하게 존재감을 유지하여 탐지 및 완화 노력을 어렵게 만듭니다.

 

결론

 

선도적인 웹 인프라 및 보안 기업인 Akamai는 이 최신 활동을 Frog4Shell이라고 명명하며 FritzFrog의 역량과 Log4Shell 익스플로잇의 융합을 강조했습니다. 프리츠프로그는 패치가 적용되지 않은 내부 시스템을 공격함으로써 인터넷에 연결된 서버의 패치를 우선시하는 경향을 악용하여 내부 시스템을 잠재적으로 노출시키고 취약하게 만듭니다.

프리츠프로그 봇넷이 계속 진화함에 따라 의료, 교육, 정부 등 다양한 분야의 조직은 경계를 늦추지 말고 사이버 보안 조치의 우선순위를 정하여 새로운 위협을 효과적으로 차단해야 합니다.

 

이 글의 출처는 TheHackerNews의 기사입니다.

요약
로그4쉘 취약점을 악용한 프리츠프로그 봇넷의 반격
기사 이름
로그4쉘 취약점을 악용한 프리츠프로그 봇넷의 반격
설명
Log4Shell을 활용하는 최신 프리츠프로그 봇넷 변종에 대한 최신 정보를 확인하세요. 이 진화하는 위협과 관련된 새로운 전술에 대해 알아보세요.
작성자
게시자 이름
TuxCare
게시자 로고

Kernel 재부팅, 시스템 다운타임 또는 예정된 유지 보수 기간 없이 취약성 패치를 자동화하고 싶으신가요?

TuxCare로 라이브 패치에 대해 알아보기

TuxCare 게스트 작가 되기

시작하기

메일

가입

4,500

Linux & 오픈 소스
전문가!


뉴스레터 구독하기