|
Windows 및 Linux을 대상으로하는 Go 기반 Chaos Malware 분석팀 2022.10.28 |
|
|
2022년 4월에 처음 발견된 Chaos 악성코드는 6월부터 활동량이 증가했다. 특히 유럽을 대상으로 한 공격이 많이 발생했으며, Go 언어 기반으로 개발된 Chaos 악성코드는 크로스 플랫폼이 가능하여 여러 운영 체제와 아키텍처에서 동작하도록 설계되었다. Chaos 악성코드는 호스팅 환경 열거, 원격 셸 명령 실행, 추가 모듈 로드, SSH 개인 키 탈취 및 무차별 대입하여 자동으로 전파, DDoS 공격 등 여러 악의적인 기능이 존재한다.
Chaos 악성코드에 감염될 경우 악성코드의 지속성을 유지하기 위해 레지스트리 등록하는 행위를 한다. 그리고 C2 서버로부터 명령을 수신받아 추가적인 행위를 수행하는데 알려진 CVE를 통해 초기 액세스 권한을 획득하고 IP 스푸핑 등으로 네트워크 정찰을 수행한다. 이 과정을 통해 내부망 공격이 가능하다.
Chaos 악성코드는 C2 서버와의 통신 트래픽을 보호하기 위해 자체 서명 인증서를 가지고 있으며, 해당 인증서는 피해자 PC에 신뢰하는 인증서 저장소에 추가하여 지속적으로 공격이 가능하다.
Chaos 악성코드는 9월에 약 24개 조직의 도메인 또는 IP를 대상으로 DDoS 공격이 있었으며, 알려진 취약점을 활용하여 감염된 장치에 추가적인 공격이 가능하기 때문에 주의를 기울일 필요가 있다. |