이베리 봇넷
Ebury라는 악성 코드 봇넷은 2009년 이후 약 400,000대의 Linux 서버에 침투했으며, 2023년 말까지 100,000대 이상의 서버가 손상되었습니다. 사이버 보안 전문가는 이 봇넷을 금전적 이득을 목표로 하는 가장 정교한 서버 측 악성 코드 캠페인 중 하나로 인식하고 있습니다.
Ebury의 배후 공격자는 스팸 배포, 웹 트래픽 리디렉션, 자격 증명 도용 등 다양한 수익 창출 활동에 참여해 왔습니다. 또한 MitM(Man-in-the-Middle) 공격을 통한 암호화폐 절도와 일반적으로 서버 측 웹 스키밍이라고 불리는 기술인 네트워크 트래픽 차단을 통한 신용 카드 절도에 연루되어 있습니다.
목차
Ebury 봇넷을 운영하는 사이버 범죄자들이 적발되었습니다.
Ebury는 10년 전 Linux 서버를 손상시키려는 캠페인인 Operation Windigo에서 등장했습니다. 이 작업에서는 웹 트래픽을 리디렉션하고 스팸을 보내기 위해 Cdorked 및 Calfbot과 같은 다른 도구와 함께 Ebury를 배포했습니다. 2017년 8월, 러시아 국적의 Maxim Senakh는 Ebury 봇넷 개발 및 유지 관리에 관여한 혐의로 미국 교도소에서 약 4년 형을 선고 받았습니다.
미국 법무부에 따르면 Senakh와 그의 동료들은 다양한 클릭 사기 및 스팸 이메일 계획을 위해 인터넷 트래픽을 조작하기 위해 Ebury 봇넷을 활용했습니다. 이로 인해 수백만 달러에 달하는 사기 수익이 발생했습니다. 그의 탄원의 일환으로 Senakh는 Ebury 봇넷 인프라를 확장하기 위해 도메인 등록 기관에 계정을 설정하고 이로 인해 생성된 트래픽에서 개인적으로 이익을 얻음으로써 범죄 기업을 지원했다고 고백했습니다.
다양한 벡터를 통해 Ebury Botnet에 감염된 장치
조사 결과 SSH 자격 증명 도용, 자격 증명 스터핑, 호스팅 제공업체 인프라 침투, 제어판 결함 CVE-2021-45467과 같은 취약점 악용, SSH 중간자 수행 등 공격자가 Ebury를 배포하기 위해 사용하는 다양한 전술이 밝혀졌습니다( MitM) 공격.
또한, 위협 행위자들이 자신의 활동을 은폐하기 위해 가짜 또는 도난당한 신원을 사용하는 것이 관찰되었습니다. 그들은 다른 악의적인 행위자가 사용하는 인프라를 손상시켜 목표를 달성하기 위해 Ebury 악성 코드를 배포하고 이를 추적하려는 노력을 혼란스럽게 했습니다.
예를 들어 공격자는 Vidar Stealer에서 데이터를 수집하는 역할을 하는 서버를 손상시켰습니다. 그들은 Vidar Stealer를 통해 획득한 훔친 신원을 사용하여 서버 인프라를 임대하고 활동을 수행했으며 의도적으로 법 집행 기관을 오도했습니다. 또 다른 경우에는 Ebury가 Mirai 봇넷 작성자 중 한 명의 시스템을 침해하여 공개 출시되기 전에 코드를 획득하는 데 사용되었습니다.
공격자들은 추가 위협 페이로드를 전달하기 위해 Ebury를 활용했습니다.
이 악성코드는 백도어 및 SSH 자격 증명 도둑으로 작동하여 공격자가 HelimodSteal, HelimodProxy 및 HelimodRedirect와 같은 추가 페이로드를 도입하여 손상된 네트워크 내에서 범위를 확장할 수 있도록 합니다. 확인된 Ebury의 최신 버전은 1.8.2입니다.
이러한 도구는 다양한 수단을 통해 손상된 서버로 수익을 창출하는 데 맞춰져 있습니다. 수익화 전략에는 신용카드 정보 도용, 암호화폐 절도, 트래픽 리디렉션, 스팸 유포, 자격 증명 도용 등이 포함됩니다.
HelimodSteal, HelimodRedirect 및 HelimodProxy는 HTTP POST 요청을 가로채고, HTTP 트래픽을 광고로 리디렉션하고, 스팸 배포를 위해 트래픽을 프록시하는 HTTP 서버 모듈로 작동합니다. 또한 이 그룹은 Netfilter 후크를 사용하여 HTTP 트래픽을 수정하고 리디렉션을 활성화하는 KernelRedirect라는 커널 모듈을 활용합니다. HelimodSteal은 온라인 상점에 제출된 신용 카드 데이터를 캡처하도록 특별히 설계되었으며, 서버 측 웹 스키머 역할을 하여 감염된 서버에서 민감한 정보를 추출합니다.
또한 공격자는 호스팅 제공업체의 데이터 센터 내에서 대규모 중간자 공격을 위해 소프트웨어를 활용하여 Perl 스크립트와 함께 방화벽을 통한 악성 트래픽을 숨기고 허용합니다. 그들은 지갑에서 암호화폐를 훔치기 위해 귀중한 자산을 표적으로 삼습니다.
