보안정보

글로벌 정보보안 리더 윈스

GoTitan 봇넷, 최근 Apache ActiveMQ 취약점 악용 사실 발견

분석팀 2023.11.30

아파치 ActiveMQ 취약점

 

 

최근 공개된 Apache ActiveMQ에 영향을 미치는 심각한 보안 결함은 위협 행위자에 의해 GoTitan이라는 새로운 Go 기반 봇넷과 감염된 호스트를 원격으로 지휘할 수 있는 PrCtrl Rat라는 .NET 프로그램을 배포하기 위해 적극적으로 이용되고 있다.

 

공격에는 최근 몇 주 동안 Lazarus Group을 포함한 다양한 해킹 팀이 무기화한 원격 코드 실행 버그(CVE-2023-46604, CVSS 점수: 10.0)를 이용하는 방식이 포함된다.

 

침입에 성공한 후 위협 행위자는 원격 서버에서 다음 단계 페이로드를 삭제하는 것으로 관찰되었으며, 그 중 하나는 HTTP, UDP, TCP 및 TLS와 같은 프로토콜을 통해 분산 서비스 거부(DDoS) 공격을 조정하도록 설계된 봇넷인 GoTitan이다.

 

한 보안 회사의 연구원은 분석에서 "공격자는 x64 아키텍처에 대한 바이너리만 제공하고, 악성코드는 실행하기 전에 몇 가지 검사를 수행한다"라고 말했다.

 

이어 "또한 실행 시간과 프로그램 상태를 기록하는 'c.log'라는 이름의 파일을 만들고 이 파일은 개발자를 위한 디버그 로그인 것으로 보이며, 이는 GoTitan이 아직 개발 초기 단계에 있다는 것을 암시한다”라고 덧붙였다.

 

 

고타이탄 봇넷

 

[그림 1. GoTitan 봇넷 관련 코드]

 

 

회사는 또한 취약한 Apache ActiveMQ 서버가 Ddostf라는 또 다른 DDoS 봇넷, 크립토재킹을 위한 Kinsing 악성 코드, Sliver라는 이름의 명령 및 제어(C2) 프레임워크를 배포하는 것을 목표로 하는 사례도 관찰했다고 밝혔다.

 

전달된 또 다른 주목할 만한 악성 코드는 PrCtrl Rat라는 이름의 원격 액세스 트로이 목마이다.

 

이 악성 코드는 C2 서버와의 연락을 설정하여 시스템에서 실행하기 위한 추가 명령을 수신하고 파일을 수집하며 서버에서 파일을 다운로드하고 업로드한다.

 

연구원은 이 글을 쓰는 시점에서 아직 서버로부터 어떤 메시지도 받지 못했고 이 도구를 전파한 동기도 불분명하지만, 일단 사용자의 환경에 침투하면 원격 서버가 시스템에 대한 통제권을 갖게 된다고 알렸다.

 

 

 

출처:

https://thehackernews.com/2023/11/gotitan-botnet-spotted-exploiting.html