멀웨어 및 DDOS 공격에 사용되는 PHP 취약점
최근 사이버 범죄 환경에서는 알려진 PHP 취약점을 악용하는 여러 위협 행위자가 발견되었습니다. 최근 언론 보도에 따르면 이 취약점은 암호화폐 채굴기, 분산 서비스 거부(DDoS) 봇넷, 원격 액세스 트로이목마에 악용되고 있습니다. 이 글에서는 PHP 취약점 익스플로잇에 대해 자세히 알아보고 이를 방지하기 위해 취할 수 있는 조치에 대해 알아보겠습니다.
PHP 취약점 CVE-2024-4577
이 PHP 보안 결함은 현재 CVE-2024-4577로 불리고 있습니다. 현재 이 취약점의 중요 취약점 심각도 점수(CVSS)는 9.8로, 조직과 개인에게 심각한 위협이 되고 있습니다.
위협 행위자가 이 PHP 취약점을 익스플로잇하면 Windows 시스템에서 원격으로 악성 명령을 실행할 수 있습니다. 보고서에 따르면 실행에 사용되는 언어 로캘은 일본어와 중국어입니다.
이 PHP 보안 결함은 2024년 6월에 처음 발견되었다는 점을 여기서 언급할 필요가 있습니다. Akamai의 사이버 보안 연구원들은 PHP 취약점에 대한 인사이트를 제공하면서 다음과 같이 말했습니다:
"CVE-2024-4577은 공격자가 명령줄을 빠져나와 인수를 전달하여 PHP에서 직접 해석할 수 있도록 하는 결함입니다." 연구원들은 "취약점 자체는 유니코드 문자가 아스키로 변환되는 방식에 있습니다."라고 덧붙였습니다.
초기 발견 및 완화 프로토콜
공개된 정보에 따르면, 웹 인프라 회사는 허니팟 서버에 대한 익스플로잇을 관찰하기 시작했다고 밝혔습니다. 이러한 시도는 결함을 악용하기 위한 것으로, PHP 취약점이 공개된 후 24시간 이내에 이루어졌습니다.
또한, 이러한 시도에는 RedTail 및 XMRig와 같은 암호화폐 채굴자와 Muhstik이라는 DDoS 봇넷을 동반한 Gh0st RAT라는 원격 액세스 트로이목마의 전달도 포함되었습니다. 사이버 보안 연구원들은 공격에 대한 추가 인사이트를 제공하면서 다음과 같이 말했습니다:
"공격자는 '%ADd'의 소프트 하이픈 결함을 악용하여 셸 스크립트에 대한 wget 요청을 실행하기 위해 이전 RedTail 공격에서 볼 수 있었던 다른 요청과 유사한 요청을 보냈습니다."
연구원들은 이 스크립트가 동일한 러시아 기반 IP 주소로 추가 네트워크 요청을 보내 x86 버전의 RedTail 암호화폐 채굴 멀웨어를 검색하는 데 사용된다고 설명했습니다.
또 다른 사이버 보안 회사인 Imperva도 PHP 취약점이 활발하게 악용되고 있다는 사실을 발견했습니다. 이들의 인사이트에 따르면, 텔 유 더 패스 랜섬웨어 공격자들이 이러한 익스플로잇의 배후에 있는 것으로 추정됩니다.
이 위협 행위자들은 악의적인 의도를 수행하기 위해 파일 암호화 멀웨어의 .NET 변종을 유포했습니다. 사이버 보안 연구원들은 공개 시점부터 익스플로잇이 활성화되기까지의 기간이 공격의 심각성을 더한다고 설명했습니다.
이 취약점은 악용 가능성이 매우 높으며 위협 행위자들 사이에서 빠르게 채택되고 있다는 점을 여기서 언급할 필요가 있습니다. 취약점의 심각성과 악용될 경우의 여파를 고려할 때, 개인 및 조직 사용자 모두 최신 버전으로 업데이트하는 것이 위협으로부터 보호하는 데 도움이 될 수 있으므로 최신 버전으로 설치해야 합니다.
결론
위협 행위자들이 CVE-2024-4577 PHP 취약점을 빠르게 악용하는 것은 적시 업데이트와 선제적인 사이버 보안 조치가 매우 중요하다는 것을 강조합니다. 이 결함의 심각성에도 불구하고 PHP 설치를 업데이트하면 위험을 완화하는 데 도움이 됩니다. 이 사건은 진화하는 사이버 위협으로부터 보호하기 위해 조직이 최신 정보를 파악하고 보안 패치를 신속하게 적용해야 할 필요성을 강조합니다.