Magnet Goblin 해커, 1-day 취약점을 이용해 맞춤형 Linux 악성 코드 배포 분석팀 2024.03.11 |
|
재정적 동기를 지닌 해킹 그룹인 Magnet Goblin이 다양한 1-day 취약점을 사용하여 공개 서버에 침입하고 Windows 및 Linux 시스템에 맞춤형 악성 코드를 배포한다.
1-day 취약점이란 패치가 출시되어 공개적으로 공개된 취약점을 의미한다.
이러한 취약점을 악용하려는 위협 행위자는 공격 대상이 보안 업데이트를 적용하기 전에 신속하게 이를 수행해야 한다.
일반적으로 취약점이 공개된 즉시 악용할 수는 없지만 일부 취약점은 활용 방법을 파악하기가 쉽지 않다.
또한 패치를 리버스 엔지니어링하면 근본적인 문제와 이를 악용하는 방법이 드러날 수 있다.
Magnet Goblin을 식별한 보안 회사의 분석가는 이러한 위협 행위자가 새로 공개된 취약점을 빠르게 악용하고 경우에 따라 PoC 익스플로잇이 공개된 지 하루 만에 취약점을 악용한다고 보고했다.
해커가 표적으로 삼은 장치 또는 서비스로는 Ivanti Connect Secure(CVE-2023-46805, CVE-2024-21887, CVE-2024-21888, CVE-2024-21893), Apache ActiveMQ, ConnectWise ScreenConnect, Qlik Sense(CVE-2023-41265, CVE-2023-41266, CVE-2023-48365), 그리고 Magento (CVE-2022-24086) 등이 있다.
Magnet Goblin은 이 취약점을 악용하여 맞춤형 악성 코드, 특히 NerbianRAT 및 MiniNerbian과 WARPWIRE JavaScript 스틸러의 맞춤형 변종으로 서버를 감염시킨다.
[그림1. Magnet Goblin 활동 타임라인]
보안 회사는 Windows용 NerbianRAT는 2022년부터 알려졌으나, Magnet Goblin이 사용하는 엉성하게 컴파일되었지만 효과적인 Linux 변종이 2022년 5월부터 유통되고 있다고 말한다.
처음 실행하면 악성코드는 시간, 사용자 이름 및 시스템 이름과 같은 시스템 정보 수집, 봇 ID 생성, 하드코딩된 IP 주소를 기본 및 보조 호스트로 설정, 작업 디렉토리 설정, AES(암호화) 네트워크 통신을 위한 공개 RSA 키 로드 등의 예비 작업을 수행한다.
그 후 NerbianRAT는 활동 시간(작업 시간), 명령 및 제어(C2) 서버와 통신하는 시간 간격 및 기타 매개변수를 결정하는 구성을 로드한다.
[그림2. 구성 매개변수]
C2는 감염된 시스템에서 실행되도록 악성코드에 다음 작업 중 하나를 보낼 수 있다:
- 추가 작업 요청 - 새 스레드에서 Linux 명령 실행 - 명령 결과를 보내고 파일을 정리하며 실행 중인 명령을 모두 중지 - 즉시 Linux 명령 실행 - 아무것도 하지 않기 - 연결 간격 수정 - 작업 시간 설정 조정 및 저장 - 한가한 시간, 구성 또는 명령 결과 반환 - 특정 구성 변수 업데이트 - C2 실행 명령을 위한 명령 버퍼 새로 고침
MiniNerbian은 NerbianRAT의 단순화된 버전으로 주로 명령 실행에 사용되며 다음 작업을 지원한다:
- C2 명령을 실행하고 결과를 반환 - 활동 일정 업데이트(종일 또는 특정 시간) - 구성 업데이트
MiniNerbian은 HTTP를 통해 C2와 통신하므로 통신에 원시 TCP 소켓을 사용하는 더 복잡한 NerbianRAT와 구별된다.
아마도 Magnet Goblin은 이를 중복성으로 사용하거나 경우에 따라 더 은밀한 백도어로 사용할 수 있다.
[그림3. NerbianRAT(왼쪽)과 MiniNerbian(오른쪽) 코드의 유사점]
보안 회사는 엄청난 양의 1-day 익스플로잇 데이터 중에서 Magnet Goblin의 공격과 같은 특정 위협을 식별하는 것이 어렵기 때문에 이러한 그룹이 취약점 공개에 따른 혼란 속에서 눈에 띄지 않게 숨을 수 있다고 말한다.
1-day 악용을 극복하려면 신속한 패치가 중요하며, 네트워크 세분화, 엔드포인트 보호, 다단계 인증과 같은 추가 조치가 잠재적인 침해의 영향을 완화하는 데 도움이 될 수 있다.
출처: https://www.bleepingcomputer.com/news/security/magnet-goblin-hackers-use-1-day-flaws-to-drop-custom-linux-malware/ |