Linux 멀웨어 '래퍼봇'의 무차별 대입 SSH 서버 공격

포티넷의 위협 헌터들이 "래퍼봇"이라는 새로운 봇넷을 발견했습니다. 2022년 6월 중순부터 사용된 이 멀웨어는 무차별 대입 공격을 통해 Linux SSH 서버를 표적으로 삼아 디바이스에 대한 액세스를 시도합니다.

무차별 암호 대입 공격은 기본적으로 사용자 이름과 비밀번호를 '추측'하여 시스템에 무단으로 액세스하는 것입니다.

"기본적으로 기본 암호 또는 취약한 암호를 사용하여 텔넷 서버를 무차별 대입하는 대부분의 Mirai 변종과 달리, 래퍼봇은 암호 인증을 허용하도록 구성된 SSH 서버를 독점적으로 검색하고 무차별 대입을 시도합니다. 이 악성 코드의 대부분은 768비트 또는 2048비트 키와 AES128-CTR을 사용한 데이터 암호화로 Diffie Hellmann 키 교환을 지원하는 모든 SSH 서버에 연결하고 무차별 대입할 수 있는 SSH 2.0 클라이언트 구현을 포함합니다."라고 포티넷 보고서는 설명합니다.

래퍼봇은 초기 서버 액세스를 획득하는 데 사용되며, 이후 네트워크 내에서 측면 이동을 하는 데 사용됩니다. 래퍼봇은 광범위한 웹 기반 공격에 자주 사용되는 여러 형태의 JavaScript 멀웨어와 달리 DDoS 기능이 제한되어 있으며, 연구원들이 야생에서 발견했습니다.

연구진에 따르면, 래퍼봇은 은행 인증 정보 도용 및 C2 활동으로 악명 높은 QBot 멀웨어와 마찬가지로 자체 명령 및 제어(C2) 프로토콜과 기타 고유한 기능을 갖추고 있습니다.

시스템을 무차별 대입하기 위해 멀웨어는 C2 호스트 고유의 TCP 요청에서 다운로드한 로그인 자격 증명 목록을 사용합니다. 성공하면 멀웨어는 C2에 다시 보고합니다.

현재 진행 중인 조사의 일환으로 래퍼봇은 원격 바이너리 다운로더를 통한 자체 전파 메커니즘을 사용합니다.

새로운 변종 래퍼봇은 정교한 기술을 사용하여 시스템을 무차별 대입합니다. 최근의 예에서 봇은 침해된 엔드포인트에 루트 사용자 '수헬퍼'를 추가합니다. 또한 봇은 관리자가 계정을 발견하고 삭제하면 매 시간마다 사용자를 새로 추가하는 Cron 작업을 생성합니다.

감염된 시스템을 공격적으로 악용하는 리소스 하이재킹 암호화 멀웨어와 달리 DDoS 기능이 제한되어 있기 때문에 RapperBot의 사용은 거의 알려지지 않았습니다. 그러나 면밀한 조사에 따르면 이 멀웨어는 감염된 Linux 시스템에만 둥지를 틀고 머무는 것으로 나타났습니다.

이 글의 출처는 사이버보안뉴스의 기사입니다.