SSH-스네이크 웜

오픈 소스로 만들어진 SSH-Snake라는 네트워크 매핑 도구는 사기 관련 공격자들에 의해 공격 작전을 위해 용도가 변경되었습니다. SSH-Snake는 손상된 시스템에서 얻은 SSH 자격 증명을 활용하여 대상 네트워크를 통해 전파되는 자체 수정 웜으로 작동합니다. 이 웜은 인식된 자격 증명 저장소와 쉘 기록 파일을 자동으로 검사하여 후속 작업을 식별합니다.

SSH-Snake 웜은 피해자의 네트워크를 통해 확산됩니다.

2024년 1월 초 GitHub에 출시된 SSH-Snake는 개발자에 따르면 다양한 시스템에서 발견된 SSH 개인 키를 사용하여 자동화된 네트워크 탐색을 위해 설계된 강력한 도구라는 특징이 있습니다.

이 도구는 네트워크 및 해당 종속성에 대한 자세한 맵을 생성하여 특정 호스트에서 발생하는 SSH 및 SSH 개인 키를 통한 잠재적인 손상을 평가하는 데 도움을 줍니다. 또한 SSH-Snake에는 여러 IPv4 주소가 있는 도메인을 확인하는 기능이 있습니다.

완전히 자체 복제되고 파일이 없는 엔터티로 작동하는 SSH-Snake는 자동으로 재생산하고 시스템 전체에 확산되는 웜에 비유될 수 있습니다. 이 셸 스크립트는 측면 이동을 용이하게 할 뿐만 아니라 기존 SSH 웜에 비해 향상된 은폐성과 유연성을 제공합니다.

SSH-Snake 도구가 사이버 범죄 작전에 악용되었습니다

연구원들은 위협 행위자가 자격 증명, 대상 IP 주소 및 bash 명령 기록을 수집하기 위해 실제 사이버 공격에서 SSH-Snake를 사용하는 사례를 확인했습니다. 이는 획득한 데이터를 호스팅하는 명령 및 제어(C2) 서버를 식별한 후에 발생했습니다. 공격에는 Apache ActiveMQ 및 Atlassian Confluence 인스턴스의 알려진 보안 취약점을 적극적으로 활용하여 초기 액세스를 설정하고 SSH-Snake를 배포하는 것이 포함됩니다.

SSH-Snake는 SSH 키를 사용하는 권장 방식을 활용하여 확산을 강화합니다. 더욱 지능적이고 안정적이라고 여겨지는 이 접근 방식을 통해 위협 행위자는 일단 거점을 마련하면 네트워크 내에서 공격 범위를 확장할 수 있습니다.

SSH-Snake의 개발자는 이 도구가 합법적인 시스템 소유자에게 잠재적인 공격자가 사전에 공격하기 전에 인프라의 약점을 식별할 수 있는 수단을 제공한다고 강조합니다. 기업은 SSH-Snake를 활용하여 기존 공격 경로를 찾아내고 이를 해결하기 위한 시정 조치를 취하는 것이 좋습니다.

사이버 범죄자는 종종 사악한 목적을 위해 합법적인 소프트웨어를 이용합니다.

사이버 범죄자는 다음과 같은 여러 가지 이유로 안전하지 않은 활동 및 공격 작업을 위해 합법적인 소프트웨어 도구를 자주 악용합니다.

이러한 위협에 대응하기 위해 조직은 사이버 범죄자가 악용할 수 있는 취약성을 완화하기 위해 지속적인 모니터링, 행동 기반 탐지, 사용자 교육, 소프트웨어 및 시스템 업데이트 유지 등을 포함하는 다계층 보안 조치를 구현해야 합니다.