다중 라이센스 할인
Computer Security 웜과 같은 특성을 가진 봇넷 멀웨어가 인기 있는 Redis 스토리지 도구를 노립니다.

웜과 같은 특성을 가진 봇넷 멀웨어가 인기 있는 Redis 스토리지 도구를 노립니다.

Computer Security년에 Chance 년까지
번역 :
한국어
컴퓨터 봇넷 웜 감염

미확인 해커 그룹이 공개적으로 액세스할 수 있는 Redis 배포를 대상으로 하는 독특하고 주목할만한 맬웨어 변종을 사용하여 공격을 시작했습니다. Redis는 데이터 저장을 위해 Amazon, Hulu 및 Tinder와 같은 주요 회사에서 인기 있는 선택입니다. 이 맬웨어의 가장 눈에 띄는 기능은 웜과 유사한 동작으로, 연구원들이 강조한 것처럼 네트워크에 대한 액세스 권한을 얻은 후 사람의 개입 없이 시스템 전체에 자체 전파하거나 복제할 수 있습니다.

보안 연구원들은 최근 " P2Pinfect "라고 불리는 우려스러운 맬웨어 변종을 발견했습니다. 다른 취약한 Redis 배포를 자율적으로 확산하고 감염시키는 놀라운 기능이 그들의 관심을 끌었습니다. 이러한 자체 전파 동작은 맬웨어가 도달 범위와 영향을 빠르게 확장할 수 있으므로 심각한 우려를 불러일으킵니다. 광범위한 조사에도 불구하고 연구원들은 아직 이 봇넷과 같은 맬웨어의 특정 대상을 식별하지 못했으며 배포 이면의 목적은 수수께끼에 싸여 있습니다. 이러한 지능적이고 자율적인 위협의 잠재적 파급 효과는 사이버 보안 커뮤니티에서 위험 신호를 일으켜 가능한 공격으로부터 보호하기 위해 추가 분석과 경계를 보장합니다.

Palo Alto의 Unit 42는 해킹 캠페인을 분석했으며, 7월 19일에 발표된 보고서에 따르면 이 악성코드는 CVE-2022-0543을 사용하여 Redis 애플리케이션을 지휘하고 봇넷에 동화시킵니다. 이 봇넷은 해커의 통제하에 있는 감염된 컴퓨터 모음으로 구성됩니다. 동일한 취약점이 2022년에 장치를 Muhstik 봇넷 에 동화시키기 위해 이전 악용의 대상이 된 반면, Unit 42의 조사 결과에 따르면 최신 맬웨어인 P2PInfect는 별개의 악성 네트워크와 연결된 것으로 보이며 Muhstik에 연결되지 않은 것으로 보입니다.
이 보고서는 Unit 42의 조사 결과 대부분과 일치하며, 이 악성코드는 Rust 프로그래밍 언어로 코딩되어 있으며 일단 봇넷에 연결되면 다른 호스트를 감염시키려 시도합니다.

그러나 두 가지 주목할만한 차이점이 발견되었습니다. 첫째, 연구원들이 분석한 맬웨어 샘플은 CVE-2022-0543을 초기 액세스 포인트로 악용하지 않았습니다. 둘째, P2Pinfect는 Windows 및 Linux Redis 인스턴스를 모두 대상으로 했습니다. 그들은 Rust 프로그래밍 언어를 사용하여 Windows 및 Linux 플랫폼 모두에서 맬웨어가 작동할 수 있는 동시에 분석가가 코드를 분석하기 어렵게 만들었다고 언급했습니다. 멀웨어 배후의 목적과 신원은 여전히 불분명합니다. 손상된 시스템이 "광부 파일"을 가져오기는 하지만 암호화 채굴 작업을 수행하지 않는 것 같습니다. 이 "광부"는 잠재적으로 위협 행위자에 의한 향후 암호화폐 채굴 배포를 위한 자리 표시자 역할을 할 수 있습니다. 마찬가지로 Unit 42는 P2PInfect의 위협적인 툴킷에서 "채굴자"라는 단어의 인스턴스를 관찰했지만 암호화 채굴 작업의 결정적인 증거를 찾지 못했습니다.

맬웨어에는 두 가지 목적이 있습니다. 첫째, 해커가 Redis 서버를 손상시키려는 다른 공격자로부터 Redis 서버를 보호하는 동시에 서버가 합법적으로 계속 작동하도록 보장하여 소유자의 탐지를 피할 수 있습니다. 감염되면 손상된 서버는 P2P 봇넷의 구성 요소가 됩니다. 이 구성을 사용하면 중앙 집중식 Ccommand-and-Control(C2) 서버 없이도 모든 봇넷 노드 간에 원활한 통신이 가능합니다. 연구원들은 네트워크를 통해 서명된 메시지를 전송하여 명령을 롤아웃할 것을 제안합니다. 이 악성코드는 SSH 네트워크 통신 프로토콜에 대한 사용자, IP 주소 및 액세스 키 목록을 수집하여 추가 호스트를 대상으로 감염을 전파합니다. 새로운 호스트가 액세스 권한을 얻으면 맬웨어는 손상된 서버를 처음 감염시킨 것처럼 자신을 복제합니다. 여기에는 내장 HTTP 서버에서 자신의 복사본을 가져오고 노드 목록을 인수로 실행하여 다른 취약한 시스템으로 범위를 확장하는 작업이 포함됩니다.

웜과 같은 특성을 가진 봇넷 멀웨어가 인기 있는 Redis 스토리지 도구를 노립니다. 스크린샷

computer botnet worm infection
로드 중...