응진랏

사이버 범죄자들은 전자 상거래 서버에 대한 공격에 NginRAT라는 새로운 원격 액세스 트로이 목마(RAT) 위협을 배포하고 있습니다. 위협적인 작업의 목표는 손상된 온라인 상점에서 결제 카드 정보를 수집하는 것입니다. 지금까지 NginRAT의 피해자는 북미, 독일, 프랑스에서 확인되었습니다.

NginRAT이 사용하는 회피 기술은 보안 솔루션에 잡히기가 매우 어렵습니다. 위협 요소는 Linux 호스트 시스템의 핵심 기능을 수정하여 호스트의 Nginx 애플리케이션을 하이재킹합니다. 보다 구체적으로 말하면, 합법적인 Nginx 웹 서버가 dlopen 과 같은 기능을 실행할 때마다 NginRAT가 이를 가로채서 자체적으로 주입합니다. 결과적으로 RAT는 합법적인 프로세스와 구별할 수 없게 됩니다.

NginRAT 위협을 분석한 보안업체에 따르면 침해된 프로세스를 보여주는 방법이 있다. 위협은 LD_L1BRARY_PATH(오타 포함)를 사용하므로 연구원은 다음 명령을 실행할 것을 권장합니다.

$ sudo grep -al LD_L1BRARY_PATH /proc/*/environ | grep -v 자체/

/proc/17199/environ

/proc/25074/e nviron

그들은 또한 NginRAT가 CronRAT 라는 다른 RAT 악성코드에 의해 표적 서버에 전달되었음을 발견했습니다. 두 위협은 동일한 역할을 수행합니다. 즉, 감염된 시스템에 대한 백도어 액세스를 제공하지만 다른 방법에 의존합니다. 예를 들어, CronRAT은 2월 31일과 같이 존재하지 않는 날짜에 실행되도록 설정되어 있기 때문에 실행되지 않을 유효한 예약된 작업에서 손상된 코드를 숨깁니다.

두 위협이 동시에 존재하는 것으로 관찰되었기 때문에 서버에서 NginRAT가 발견되면 관리자는 CronRAT에 의해 숨겨져 있을 수 있는 손상된 코드의 징후가 있는지 cron 작업도 확인해야 합니다.