Wins Security Information

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향중국 해커와 연관된 새로운 리눅스 악성코드 공개
작성일 2021-03-11 조회 3461

이번주 수요일, 보안 연구원들은 중국 사이버 공격자들의 소행으로 추정되는 리눅스 엔드포인트, 서버를 대상으로한 백도어를 공개했다.

 

Intezer는 해당 악성코드를 RedXOR이라고 칭했으며 이전에 PWNLNX, XOR 같은 악성코드와 Winnti, Umbrance 위협 그룹 간에 유사성이 발견됬다고 언급했다. RedXOR이라는 이름은 XOR에 기반한 체계로 네트워크를 인코딩하고, 비슷한 코드가 재사용 되어 컴파일 되었기 때문에 붙혀지게 되었다.

 

Intezer는 악성코드 샘플이 인도네시아와 대만에서 2개정도가 업로드 됬고 실제로 이 두 나라는 중국에 기반을 둔 위협 단체들이 공격 대상으로 삼은 것으로 알려져 있다.

 


[그림1. RedXOR 데이터 인코딩 함수]

 

 

 

RedXOR은 TCP 소켓을 통해 통신을 수행하게 되며 데이터들이 암호화된 상태로 상호 유지된다. 또한, 통신은 정상적인 HTTP 트래픽으로 위장한 상태다. 만약 악성 코드에 감염되면 서버 PC의 정보, 명령 실행 등 추가 악성행위를 수행할 수 있게 된다.

 

최근, IoT 장비, 웹 서버 및 클라우드 서버용 운영 체제가 늘어나게 되면서 해당 서버들을 대상으로한 공격 캠페인의 수가 증가되고 있다. RedXOR도 이에 기인한 것으로 보고 있다. 또한 Windows , Linux 운영체제 플랫폼을 모두 지원하는 새로운 Toolkit 개발도 활발해지고 있다.

 

Intezer 연구원들은 "지난 10년간 집계한 보고서를 통해서 일부 국가에 의해 활동하는 공격자들이 Linux기반의 악성 코드를 적극적으로 제작해 나가고 있으며 보다 정교한 공격이 진행될 것이다." 고 설명했다.

 

출처:

 

https://thehackernews.com/2021/03/researchers-unveil-new-linux-malware.html

첨부파일 첨부파일이 없습니다.
태그 RedXOR