|
Linux서버와 IoT 디바이스로 타깃을 변경한 Wormable Gitpaste-12 봇넷 침해사고분석팀 2020.12.17 |
|
|
깃허브와 파스테빈을 통해 퍼지며 타깃 시스템에 암호화폐 채굴 백도어를 설치하는 Wormable Botnet-이 웹 애플리케이션, IP 카메라, 라우터 등을 공격하는 기능으로 돌아왔다
지난달 초, Juniper Threat Labs의 연구원들은 GitHub를 사용하여 파스테빈 URL에서 다운로드한 명령을 통해 알려진 공격 12개를 포함하는 악성코드를 호스팅하는 "GitPaste-12"라는 암호 채굴 캠페인을 문서화했다.
당시 공격은 지난 10월 15일 부터 12일간 진행됬으며, 이후 Pastebin URL과 저장소가 모두 폐쇄됐다.
하지만 Juniper에 따르면 11월 10일 다른 GitHub 저장소의 페이로드를 사용하여 다시 공격이 시작되었으며, 그 중에는 는 크립토마이너와 브루트포스 공격을 위한 패스워드 리스트, x86_64 리눅스 시스템에 대한 로컬 권한 상승 익스플로잇이 포함되어 있었다.
초기 감염은 Go 프로그래밍 언어인 X10-unix를 통해 발생한다.
이 웜은 웹 애플리케이션, IP 카메라, 라우터 등을 대상으로 광범위한 공격을 수행하며, 이 중 7개는 이전 Gitpaste-12 샘플에서도 확인되었던 최소 31개의 알려진 취약점과 개방된 Android Debug Bridge 연결 및 기존 멀웨어 백도어를 손상시키려는 시도로 구성되어 있다.
[그림 1. 봇넷 동작 과정]
31가지 취약점 목록에는 CVE-2020-5902, CVE-2020-8816, CVE-2020-10987, CVE-204-1796 등의 RCE 취약점이 포함된다.
봇넷은 기계의 X10-Unix와 모네로 채굴 소프트웨어를 설치하는 것 외에 포트 30004와 포트 30006에서도 백도어 수신기를 열어 공격 대상자의 외부 IP주소를 프라이빗 파스테빈 페이스트에 업로드하고, 포트 5555의 안드로이드 디버그 브릿지에 연결을 시도한다.
성공적으로 연결되면 안드로이드 APK 파일("Weixin.apk")을 다운로드하여, 최종적으로 ARM CPu 버전의 X10-Unix를 설치하게 된다.
Juniper에 따르면 현재 최소 100개의 개별 호스트가 감염을 전파한 것을 발견했고 한다.
출처
https://thehackernews.com/2020/12/wormable-gitpaste-12-botnet-returns-to.html |
