마이너와 랜섬웨어 페이로드를 사용하는 P2P감염 봇넷
최근 언론 보도를 통해 P2PInfect 멀웨어가 밝혀졌습니다. 이 P2P 봇넷은 랜섬웨어와 암호화폐 채굴기로 Redis 서버의 취약점을 표적으로 삼아 이를 악용하는 것으로 밝혀졌습니다. 한때 휴면 상태로 동기가 없는 것으로 여겨졌던 멀웨어가 금전적 동기를 가진 위협 공격자들에 의해 사용되고 있습니다.
이 블로그에서는 P2PInfect 멀웨어에 대해 자세히 알아보고 이 멀웨어가 가장 우려되는 위협이 되는 이유를 이해합니다.
P2PInfect 멀웨어 발견
P2PInfect 멀웨어는 1년 전에 등장했으며 그 이후로 지속적으로 업데이트되고 있습니다. 이 멀웨어의 사용은 1월 초에 채굴자 페이로드를 전달하는 것이 목격되면서 발견되었습니다. P2PInfect 멀웨어는 Redis 서버를 표적으로 삼아 확산되고 있습니다.
서버의 복제 기능을 악용하여 위협 행위자가 제어하는 서버의 팔로워 노드에 있는 피해자의 시스템을 변형시킵니다. 이 피어 투 피어 봇넷의 또 다른 흥미로운 기능은 인터넷에서 더 취약한 웹 서버를 검색할 수 있다는 것입니다. 또한 P2PInfect 멀웨어에는 SSH 암호 스프레이어 모듈이 있습니다.
이 모듈은 공격 체인의 일부로 사용될 수 있으며 위협 행위자가 일반적인 비밀번호를 사용하여 로그인 시도를 수행하는 데 도움이 됩니다. 이 멀웨어를 가장 중요한 위협으로 만드는 다른 주요 기능으로는 다음과 같은 것들이 있습니다:
- 다른 사이버 범죄자가 동일한 서버를 공격하지 못하도록 차단하세요.
- 루트 권한으로 SSH 서비스 다시 시작하기.
- 위협 행위자가 권한 상승을 수행하도록 허용합니다.
P2PInfect 멀웨어: 봇넷의 구조와 전문가 인사이트
전문적인 인사이트를 알아보기 전에 사이버 보안에 관심이 있는 사람들은 멀웨어의 주요 특징이 아키텍처에 있다는 것을 알아야 합니다. 이 멀웨어를 사용하면 감염된 각 컴퓨터가 더 큰 메시 네트워크의 노드 역할을 합니다. 이 구조는 명령과 업데이트의 신속한 전파를 용이하게 합니다.
이러한 구조를 통해 위협 행위자는 멀웨어가 피해자의 시스템에 대한 발판을 손상시키지 않고 탐지를 회피할 수 있습니다. 이 봇넷은 그 심각성으로 인해 전문가들에 의해 분석되었습니다. P2PInfect 멀웨어에 대해 Keeper Security의 보안 및 아키텍처 담당 부사장인 패트릭 티켓은 다음과 같이 설명했습니다:
"P2Pinfect의 개발은 소프트웨어 취약점을 악용하거나 비밀번호 스프레이를 사용하는 등의 기술을 사용하여 초기 단계에서 네트워크 내에서 확산하고 확고한 발판을 마련하는 데 집중하는 정교한 멀웨어가 어떻게 발전하는지를 보여주는 전형적인 예입니다."
또 다른 전문가인 퀄리스 위협 연구소의 사이버 위협 책임자 켄 던햄도 다음과 같이 말했습니다:
"사이버 위협 인텔리전스(CTI) 팀은 진화하는 악의적 공격자의 전술, 기술, 절차(TTP)를 모니터링하고 관리하여 어트리뷰션은 물론 위협 환경의 변화와 기업이 위험을 가장 효과적으로 줄이기 위해 집중해야 할 지표를 파악하는 것이 필수적입니다."
결론
최근 발견된 이 멀웨어는 전 세계 인터넷 사용자들에게 심각한 위협이 되고 있습니다. 2023년 6월 처음 발견된 후, 이 멀웨어는 아무런 동기가 없는 휴면 멀웨어로 간주되었습니다. 그러나 최근 이와 관련된 익스플로잇이 활발하게 이루어지면서 금전적 이득을 취하는 데 사용되고 있는 것으로 밝혀졌습니다.
현재 P2PInfect 멀웨어는 권한을 에스컬레이션하고 루트 권한으로 SSH 서버를 재시작하는 등의 기능을 수행할 수 있습니다. 따라서 강력한 사이버 보안 조치를 구현하는 것은 보안 태세를 개선하고 위험에 대한 노출을 줄이며 조직이 이러한 위협에 대처할 수 있도록 하는 필수 요소가 되었습니다.
이 글의 출처는 해커 뉴스와 HACK READ입니다.