GoTitan 봇넷, 최근 Apache ActiveMQ 취약점 악용 사실 발견 분석팀 2023.11.30 |
|
최근 공개된 Apache ActiveMQ에 영향을 미치는 심각한 보안 결함은 위협 행위자에 의해 GoTitan이라는 새로운 Go 기반 봇넷과 감염된 호스트를 원격으로 지휘할 수 있는 PrCtrl Rat라는 .NET 프로그램을 배포하기 위해 적극적으로 이용되고 있다.
공격에는 최근 몇 주 동안 Lazarus Group을 포함한 다양한 해킹 팀이 무기화한 원격 코드 실행 버그(CVE-2023-46604, CVSS 점수: 10.0)를 이용하는 방식이 포함된다.
침입에 성공한 후 위협 행위자는 원격 서버에서 다음 단계 페이로드를 삭제하는 것으로 관찰되었으며, 그 중 하나는 HTTP, UDP, TCP 및 TLS와 같은 프로토콜을 통해 분산 서비스 거부(DDoS) 공격을 조정하도록 설계된 봇넷인 GoTitan이다.
한 보안 회사의 연구원은 분석에서 "공격자는 x64 아키텍처에 대한 바이너리만 제공하고, 악성코드는 실행하기 전에 몇 가지 검사를 수행한다"라고 말했다.
이어 "또한 실행 시간과 프로그램 상태를 기록하는 'c.log'라는 이름의 파일을 만들고 이 파일은 개발자를 위한 디버그 로그인 것으로 보이며, 이는 GoTitan이 아직 개발 초기 단계에 있다는 것을 암시한다”라고 덧붙였다.
[그림 1. GoTitan 봇넷 관련 코드]
회사는 또한 취약한 Apache ActiveMQ 서버가 Ddostf라는 또 다른 DDoS 봇넷, 크립토재킹을 위한 Kinsing 악성 코드, Sliver라는 이름의 명령 및 제어(C2) 프레임워크를 배포하는 것을 목표로 하는 사례도 관찰했다고 밝혔다.
전달된 또 다른 주목할 만한 악성 코드는 PrCtrl Rat라는 이름의 원격 액세스 트로이 목마이다.
이 악성 코드는 C2 서버와의 연락을 설정하여 시스템에서 실행하기 위한 추가 명령을 수신하고 파일을 수집하며 서버에서 파일을 다운로드하고 업로드한다.
연구원은 이 글을 쓰는 시점에서 아직 서버로부터 어떤 메시지도 받지 못했고 이 도구를 전파한 동기도 불분명하지만, 일단 사용자의 환경에 침투하면 원격 서버가 시스템에 대한 통제권을 갖게 된다고 알렸다.
출처: https://thehackernews.com/2023/11/gotitan-botnet-spotted-exploiting.html |