기술 지원
문서
로그인
문의하기
Linux 엔터프라이즈 시스템을 표적으로 삼는 Icefire 랜섬웨어
2023년 3월 24일 TuxCare 홍보팀
SentinelLabs의 사이버 보안 연구원들이 Linux 엔터프라이즈 시스템에 특히 초점을 맞춘 새로운 변종 Icefire 랜섬웨어를 발견했습니다.
감염된 시스템의 파일을 암호화하고 이를 해제하기 위해 몸값을 요구하는 이 멀웨어를 가장 먼저 탐지한 곳은 SentinelLabs입니다. 이 악성코드는 공통 취약점 및 노출(CVE) 데이터베이스에서 CVE-2022-47986으로 식별됩니다. 공격자는 이 결함을 악용하여 취약한 시스템에서 임의의 코드를 실행할 수 있습니다.
아이스파이어 랜섬웨어는 매우 정교하며 바이러스 백신 소프트웨어의 탐지를 피하기 위해 다양한 기술을 사용합니다. 이 멀웨어는 피싱 이메일과 드라이브 바이 다운로드를 통해 확산되는 것으로 추정됩니다. 취약한 소프트웨어 애플리케이션은 널리 사용되고 있으며, 부적절한 입력 유효성 검사로 인해 취약합니다. 이 취약점을 성공적으로 익스플로잇하면 영향을 받는 시스템이 완전히 손상될 수 있습니다.
SentinelLabs가 탐지한 IceFire 멀웨어는 iFire 확장자를 사용하는데, 이는 IceFire가 Linux 엔터프라이즈 시스템으로 초점을 옮기고 있다는 MalwareHunterTeam의 2월 보고서와 일치합니다.
IceFire Linux 버전은 오픈 소스 Linux 배포판인 CentOS를 실행하는 호스트에서 실행되고 취약한 버전의 IBM Aspera Faspex 파일 서버 소프트웨어를 실행하는 것으로 발견되었습니다. IceFire Linux 변종에서 관찰된 또 다른 새로운 전술은 피싱 메시지를 통한 전통적인 전달 방식이 아닌 취약점을 악용하거나 Empire, Metaspoilt, Cobalt Strike와 같은 특정 익스플로잇 후 타사 프레임워크를 통해 피벗하는 것이었습니다.
SentinelLabs 보고서에 따르면 공격자의 전술은 이중 갈취, 대기업에 대한 공격, 다양한 지속 메커니즘 사용, 로그 파일 삭제와 같은 회피 전술 등 "빅 게임 헌팅"(BGH) 랜섬웨어 계열의 전술과 일치합니다. 공격자는 데이터를 암호화하면서 데이터를 훔치는 경우 일반적으로 표준 지불 금액의 두 배에 달하는 몸값을 요구합니다.
IceFire Linux 버전(SHA-1: b676c38d5c309b64ab98c2cd82044891134a9973)은 AMD64 아키텍처용 gcc로 컴파일된 2.18MB, 64비트 ELF 바이너리입니다. 이 샘플은 인텔 기반 Ubuntu 및 데비안 배포판에서 테스트되었으며, 두 테스트 시스템 모두에서 IceFire가 성공적으로 실행되었습니다. 관찰된 침입에서 Linux 버전은 취약한 버전의 IBM Aspera Faspex 파일 서버 소프트웨어를 실행하는 CentOS 호스트에 대해 배포되었습니다. 시스템은 wget을 사용하여 두 개의 페이로드를 다운로드하고 저장했습니다.
실행 시 파일은 암호화되고 파일 이름에 ".ifire" 확장자가 추가되어 이름이 변경됩니다. 그런 다음 IceFire는 바이너리를 제거하여 스스로 삭제합니다. 그런 다음 파일 이름에 ".iFire" 확장자가 추가됩니다. IceFire는 확장자가 ".sh" 및 ".cfg"인 파일을 건너뜁니다.
IceFire 랜섬웨어는 Linux의 모든 파일을 암호화하지 않고 특정 경로의 암호화를 피하여 시스템의 중요한 부분이 암호화되지 않고 계속 작동하도록 합니다. 관찰된 한 감염 사례에서는 /srv 디렉터리가 암호화되었으므로 이러한 제외를 선택적으로 재정의할 수 있습니다.
이 글의 출처는 CSOOnline의 기사입니다.
