BPFDoor 컨트롤러

사이버 보안 연구원들이 악명 높은 BPFDoor 백도어와 연결된 새로운 컨트롤러 구성 요소를 발견했습니다. 이번 발견은 2024년 한국, 홍콩, 미얀마, 말레이시아, 이집트 전역의 통신, 금융, 소매 부문을 겨냥한 사이버 공격이 계속되는 가운데 나온 것입니다.

더 깊이 파고들기: 역쉘 및 측면 이동 기능

새로 발견된 컨트롤러는 공격자에게 강력한 도구인 리버스 셸을 열 수 있습니다. 이 기능은 측면 이동을 가능하게 하여 사이버 범죄자가 손상된 네트워크에 더 깊이 침투하고, 더 많은 시스템을 제어하며, 잠재적으로 중요 데이터에 접근할 수 있도록 합니다.

귀속 퍼즐: 커튼 뒤에는 누가 있을까?

이러한 공격은 Earth Bluecrow라는 위협 그룹과 관련이 있는 것으로 잠정적으로 추정되며, DecisiveArchitect, Red Dev 18, Red Menshen 등의 별칭으로도 알려져 있습니다. 그러나 이러한 연관성은 중간 정도의 신뢰도를 가지고 있습니다. 이유는 무엇일까요? BPFDoor의 소스 코드가 2022년에 유출되었는데, 이는 다른 위협 행위자들도 이를 악용하고 있을 가능성을 시사합니다.

BPFDoor: 지속적이고 은밀한 간첩 도구

BPFDoor는 2022년에 처음 발견된 리눅스 백도어로, 아시아와 중동의 조직을 표적으로 삼아 최소 1년 전부터 사용되어 왔습니다. BPFDoor의 가장 큰 특징은 감염된 시스템에 대한 장기간의 은밀한 접근을 유지할 수 있다는 점입니다. 스파이 활동에 매우 적합합니다.

작동 원리: 버클리 패킷 필터의 마법

이 악성코드의 이름은 버클리 패킷 필터(BPF)를 사용하는 데서 유래했습니다. BPF는 소프트웨어가 수신 네트워크 패킷에서 특정 '매직 바이트' 시퀀스를 검사할 수 있도록 합니다. 이 고유한 패턴이 탐지되면 방화벽이 설치되어 있더라도 백도어가 작동합니다. 이는 BPF가 커널 수준에서 작동하여 기존 방화벽 보호 기능을 우회하기 때문입니다. 루트킷에서는 흔히 볼 수 있지만, 백도어에서는 이러한 기법이 드물게 사용됩니다.

새로운 플레이어: 문서화되지 않은 맬웨어 컨트롤러

최근 분석 결과, 손상된 Linux 서버가 이전에는 문서화되지 않은 맬웨어 컨트롤러에도 감염된 것으로 나타났습니다. 이 컨트롤러는 네트워크 내부에 침투하면 측면 이동을 용이하게 하고 공격자의 활동 범위를 다른 시스템으로 확장합니다.

'매직 패킷'을 전송하기 전에 컨트롤러는 운영자에게 비밀번호를 입력하도록 요청합니다. 이 비밀번호는 BPFDoor 악성코드에 하드코딩된 값과 일치해야 합니다. 인증되면 다음 명령 중 하나를 실행할 수 있습니다.

• 역방향 쉘을 엽니다

향상된 기능: 프로토콜 지원 및 암호화

이 컨트롤러는 TCP, UDP, ICMP 프로토콜을 지원하는 다재다능한 제품입니다. 또한 안전한 통신을 위해 암호화 모드(옵션)를 제공합니다. 고급 직접 모드를 통해 공격자는 감염된 시스템에 즉시 연결할 수 있으며, 이 경우에도 올바른 비밀번호만 필요합니다.

미래를 내다보며: BPF의 확대되는 위협

BPF는 사이버 공격자들에게 새롭고 미지의 영역을 열어줍니다. 기존 방어 체계를 뚫고 침투할 수 있는 능력은 정교한 악성코드 개발자에게 매력적인 도구가 됩니다. 사이버 보안 전문가에게 BPF 기반 위협을 이해하고 분석하는 것은 향후 공격에 앞서 나가는 데 매우 중요합니다.