PumaBot Botnet

새롭게 발견된 리눅스 봇넷, 푸마봇(PumaBot)이 임베디드 IoT 기기를 휩쓸고 있습니다. Go 언어로 작성된 이 악성코드는 무차별 대입 공격을 통해 SSH 인증 정보를 해킹하고, 접근 권한을 획득하면 악성 페이로드를 배포합니다. 인터넷을 무차별적으로 스캔하는 기존 봇넷과 달리, 푸마봇은 명령제어(C2) 서버에서 직접 가져온 특정 IP 주소만을 노립니다.

정밀 타겟팅: IoT 활용의 전술적 변화

PumaBot은 C2 서버(ssh.ddos-cc.org)에서 선별된 IP 대상 목록을 가져와 고도로 집중적인 공격을 수행한다는 점에서 차별화됩니다. 이러한 접근 방식은 광범위한 인터넷 검색을 피하고 특정 조직이나 기기를 침해하려는 의도를 암시합니다. 심지어 'Pumatronix' 문자열이 있는지도 검사하는데, 이는 해당 업체가 제작한 감시 및 교통 카메라 시스템을 표적으로 삼을 수 있는 단서일 수 있습니다.

정찰에서 루트까지: PumaBot의 공격 라이프사이클

장치가 선택되면 PumaBot은 22번 포트에서 무차별 대입 공격(brute-force) SSH 로그인을 시도합니다. 성공하면 'uname -a'를 실행하여 시스템 정보를 수집하고 해당 장치가 허니팟이 아닌지 확인합니다. 이 확인 후 봇넷은 다음을 수행합니다.

• /lib/redis에 기본 바이너리(jierui)를 작성합니다.
• 영구적인 systemd 서비스(redis.service)를 설치합니다.
• 시스템 정리 후에도 장기 액세스를 위해 authorized_keys에 자체 SSH 키를 삽입합니다.

감염을 넘어: 명령 실행 및 데이터 유출

액세스가 보안되면 PumaBot은 다음을 포함한 추가 명령을 실행할 수 있습니다.

• 새로운 페이로드 배포
• 민감한 데이터 유출
• 네트워크 내에서 측면 이동을 용이하게 함
• 탐지된 탑재체는 다음과 같습니다.
• 자체 업데이트 스크립트
• pam_unix.so를 대체하는 PAM 루트킷
• 파일 감시자 역할을 하는 데몬 바이너리(이름 1)

악성 PAM 모듈은 SSH 자격 증명을 기록하여 con.txt에 저장합니다. 1 바이너리는 이 파일을 모니터링하고, 발견되면 감염된 시스템에서 삭제하기 전에 C2 서버로 파일을 유출합니다. 이는 흔적을 지우기 위한 의도적인 수법입니다.

알려지지 않은 범위, 높은 위험: PumaBot의 조용한 확장

연구진은 아직 푸마봇 캠페인의 규모나 성공률을 파악하지 못했습니다. 대상 IP 목록의 범위는 아직 불분명합니다. 그러나 이 봇넷이 DDoS 공격과 같은 저강도 활동보다는 네트워크 깊숙이 침투하는 데 집중하고 있다는 점은 기업 및 주요 인프라에 심각한 위협을 가하고 있음을 시사합니다.

앞서 나가세요: PumaBot 및 유사 로봇에 대한 방어

PumaBot 또는 유사한 위협으로 인한 손상 위험을 줄이려면:

• 모든 IoT 기기의 펌웨어 업데이트
• 기본 자격 증명 변경
• 방화벽을 구축하고 SSH 액세스를 제한합니다.
• 분할된 네트워크에서 IoT 장치 격리

봇넷 공격자를 막고 기업 네트워크를 심각한 침해로부터 보호하려면 사전 예방적 보안 조치가 필수적입니다.