지오서버라는 오픈소스 서버에서 취약점이 발견됐는데, 공격자들은 부리나케 움직여 벌써 여러 가지 종류의 멀웨어들이 퍼지고 있다. 느긋하게 분석하고 패치하고 관리할 시간을 주지 않는다. 특히 오픈소스에 대해서는 공격자들의 악의 가득한 눈이 호시탐탐 기회만 노리는 중이다.
[보안뉴스 문정후 기자] 위치 및 지리학적 데이터를 공유, 편집, 관리할 수 있게 해 주는 오픈소스 소프트웨어 서버인 지오서버(GeoServer)에서 심각한 취약점이 발견됐고, 공격자들이 이를 적극 공략하고 있다는 경고가 나왔다. 특히 다양한 멀웨어가 이 취약점을 통해 퍼지고 있음이 발견되고 있다. 따라서 빠른 패치가 요구되고 있다.
[이미지 = gettyimagesbank]
문제의 취약점은 CVE-2024-36401로, CVSS 기준 9.8점을 받았을 정도로 위험한 것으로 분석됐다. 지오서버 2.23.6, 2.24.4, 2.25.2 이전 버전들 모두 이 취약점을 내포하고 있으며, 익스플로잇에 성공한 공격자는 피해자의 지오서버 및 관련 시스템들을 장악할 수 있게 된다고 한다. 이 취약점에 대한 보안 권고문은 지난 7월 1일에 발표됐으나 아직 패치가 다 적용되지 않은 것으로 보인다.
이에 지난 7월 15일 미국의 사이버 보안 전담 기관인 CISA는 이 취약점을 긴급 패치 목록인 KEV에 추가하기도 했다. CISA가 어떤 취약점을 KEV 목록에 넣었다면, 그건 그 취약점이 실제 익스플로잇 공격에 활용되고 있다는 의미가 된다. 보안 업체 포티넷(Fortinet)은 이러한 공격 시도를 여러 번 발견하고, 그와 관련한 정보를 수집하는 데 성공했다고 밝혔다.
첫 번째 멀웨어, 고리버스
“저희가 관찰한 바 공격자들은 인도의 IT 서비스 업체, 미국의 기술 회사, 벨기에의 정부 기관, 태국과 브라질의 통신 회사를 대상으로 불법 접근을 시도하고 있었습니다. 이 때 공격자들은 특정 도메인에서부터 악성 스크립트를 가져왔고, 이 스크립트는 피해자의 시스템을 확인한 후 맞춤형으로 추가 파일을 다운로드 했습니다. 이 파일은 여러 리눅스 계열 OS에서 실행이 가능하며, 실행된 이후에는 자가 삭제를 진행했습니다.” 포티넷의 설명이다.
그렇게 해서 마지막에 실행되는 건 고리버스(GOREVERSE)라는 멀웨어로, 공격자들은 이것을 통해 피해자의 시스템에 접근할 수 있게 된다. “고리버스는 18201 포트로 연결되며, 이를 통해 공격자와 통신합니다.”
두 번째 멀웨어, 사이드워크
다른 멀웨어가 전파되는 사례도 있었다. “남아메리카, 유럽, 아시아 지역의 일부 조직들이 주요 표적인 것으로 보이는 캠페인에서는 사이드워크(SideWalk)라는 멀웨어가 활용됐습니다. 사이드워크의 경우 또 다른 도메인에서 스크립트가 전달되고, 이를 통해 실행파일이 다운로드 됩니다. 이게 바로 사이드워크인데, 이전부터 잘 알려져 있던 고급 리눅스 백도어입니다. APT41이라는 해킹 그룹이 종종 사용하는 것으로 알려져 있습니다.”
다만 이번 캠페인에서 발견된 사이드워크의 경우 ARM, MIPS, X86 아키텍처에서 작동되도록 설계되었다고 한다. 또한 이 캠페인의 배후에도 APT41이 있는지도 아직은 확인되지 않았다. “피해자의 시스템에 올라타는 데 성공한 사이드워크는 TMP 디렉토리에 폴더를 하나 만듭니다. 이 폴더의 이름은 무작위 문자열로 구성되어 있습니다. 그런 다음 두 개의 라이브러리 파일과 다음 단계에 사용할 악성 페이로드를 이 폴더로 다운로드 합니다. 다운로드 후 파일들을 디코딩 하고, 다음 단계 페이로드를 실행시킵니다.”
이 페이로드가 결국 사이드워크 공격의 궁극적 목표라고 할 수 있는데, 포티넷이 파악한 이 페이로드의 세 가지 주요 기능은 다음과 같다.
1) 디코딩 : 차차20(ChaCha20)이라는 알고리즘을 활용하여 인코딩 되어 있는 콘텐츠를 디코딩하고, 이를 통해 C&C 서버 도메인을 추출한다.
2) C&C 통신 : 위에서 추출된 서버 주소에 접속해 연결 상태를 만든다. 연결 후 초기 패킷을 서버와 주고 받는데, 이 때 암호화 된 패킷이 사용된다. 따라서 이를 디코딩할 필요가 있다. 피해자의 시스템 정보가 이 단계에서 전송되기도 한다.
3) 명령 실행 : C&C 서버는 초기 연결 단계가 지나가면 명령을 전달한다. 이 페이로드는 이러한 명령들을 실행할 수 있다. 이 단계에서 FRP(Fast Reverse Proxy)라는 플러그인이 활용되기도 한다. FRP는 정상적인 네트워크 도구이지만 공격자들이 예전부터 공격에 활용해 왔었다.
세 번째 멀웨어, 미라이
미라이 변종이 관여되어 있다는 사실도 추적과 분석을 통해 발견됐다. “역시나 이 공격도 스크립트에서부터 출발합니다. 이 스크립트가 어떤 도메인에서 스카이(sky)라는 파일을 다운로드 하여 실행합니다. 그런 다음 파일의 권한을 변경해 geo라는 매개변수와 함께 실행시킵니다. 여기까지 진행되면 스카이라는 파일은 저절로 삭제됩니다. geo라는 매개변수와 실행되면 C&C 서버의 정보가 추출됩니다.”
C&C 서버로부터는 CVE-2017-17215라는 취약점과 관련된 페이로드가 하드코딩 된 채로 전달된다고 한다. 그리고 이 페이로드는 피해자의 시스템에 삽입되어서는 또 다른 도메인에서 추가 멀웨어를 다운로드 한다. 이 추가 멀웨어가 미라이의 변종이다. 다만 이 미라이가 어느 지역이나 국가를 노리는지, 주로 어떤 공격을 하는지는 아직 공개되지 않고 있다. 원래 미라이는 디도스 공격에 특화되어 있는 봇넷 멀웨어다. 이번 변종도 그럴 가능성이 높다.
네 번째 멀웨어, 콘디
콘디(Condi)도 미라이처럼 봇넷의 일종이다. 공격자들은 지오서버의 취약점을 통해 콘디를 퍼트리기도 하는데, 이를 위해 제일 먼저 피해자의 시스템 내에서 실행되고 있는 여러 프로세스들을 종료시킨다. “종료의 대상은 mpsl, mipsel, bash.mpsl, mips, x86_64, x86입니다. 그런 후 원격 서버에서 피해자 CPU의 아키텍처에 맞는 봇 바이너리를 다운로드 하고 실행시킵니다. 주로 /tmp라는 디렉토리에 저장됩니다.”
이 때 저장되는 것이 콘디이며, 콘디의 실행까지 이르게 되면 특정 도메인으로 다수의 DNS 쿼리를 전송하기 시작한다. “그런 후 C&C 서버와 연결하고, 대기하면서 추가 명령을 기다립니다. 주로 디도스 공격을 실시하는 봇넷이기 때문에 디도스 관련 공격 명령이 전달됩니다. 콘디는 TCP플러딩(TCP Flooding), UDP플러딩(UDP Flooding), VSE 등 다양한 디도스 공격을 구사할 수 있습니다.”
콘디의 원격 서버를 추적한 결과 리눅스2.4(Linux2.4)라는 또 다른 봇넷과도 관련되어 있다는 사실이 드러났다. “리눅스2.4 봇넷 역시 디도스 공격을 실시하는 데 활용되는 멀웨어입니다. 또한 일종의 백도어로도 활용이 가능합니다.”
다섯 번째 멀웨어, 코인마이너
마지막으로 지오서버 사태와 관련하여 발견된 멀웨어는 코인마이너(CoinMiner)였다. 이름 그대로 암호화폐를 채굴하는 기능을 가진 멀웨어다. “이 공격에서 공격자들은 원격 서버로부터 스크립트를 먼저 다운로드 받습니다. 그런 후 그것을 script.sh라는 이름으로 저장합니다. 뿐만 아니라 이 스크립트는 피해자 시스템의 정보를 수집하기도 합니다. 그런 후 클라우드와 관련된 프로세스들을 제거하여 모니터링을 회피하려 하기도 합니다.”
스크립트의 주석이 간체 중국어로 작성되어 있기 때문에 이 캠페인의 배후에 중국인 해커가 있을 가능성이 높다고 포티넷은 보고 있다. 이 스크립트는 모니터링을 회피한 후 추가 보안 프로세스들을 찾아 종료시키기도 한다. 그렇게 환경을 안전하게 만든 후에야 코인마이너가 다운로드 되며 작동을 시작한다. 이 때 코인마이너가 지속적으로 작동할 수 있도록 공격 지속성을 확보하는 기능을 가진 스크립트가 같이 다운로드 된다.
그런데 또 다른 코인 채굴 멀웨어가 발견되기도 했다. 이 멀웨어를 다운로드 하는 스크립트의 경우 베이스64(Base64)로 인코딩 되어 있으며, 주석이 인도네시아어로 작성되어 있었다. 다른 채굴 프로세스를 찾아 삭제하는 기능도 가지고 있다고 한다. 그런 다음 다운로드 되는 채굴 멀웨어는 XM리그(XMRig)인 것으로 보인다고 포티넷은 밝혔다.
"지오서버는 오픈소스라는 특성을 가지고 있습니다. 그만큼 유연하고 널리 사용되며 맞춤 설정하기 편하다는 뜻입니다. 그러한 특성은 사용자에게 많은 이득을 가져다줄 수 있지만, 악의적으로 활용되기도 합니다. 공격자들이 이런 지오서버에서 발견된 취약점을 너도나도 이용하여 갖가지 멀웨어를 퍼트리고 있는 것만 봐도, 공격자들이 이런 오픈소스를 얼마나 악용하고 싶어하는지, 얼마나 준비가 잘 되어 있는지를 알 수 있습니다. 따라서 빠른 패치 적용에 더불어 종합적인 위험 완화 대책을 마련해 도입하는 게 중요합니다.”
3줄 요약
1. 지오서버라는 오픈소스에서 CVE-2024-36401라는 취약점이 발견됨.
2. 이 취약점을 통해 이미 공격자들은 다양한 멀웨어를 퍼트리고 있음.
3. 여러 보안 방어책들을 동원하여 스스로를 안전히 보호할 수 있어야 함.
[국제부 문정후 기자(globoan@boannews.com)]
[보안뉴스 문정후 기자] 위치 및 지리학적 데이터를 공유, 편집, 관리할 수 있게 해 주는 오픈소스 소프트웨어 서버인 지오서버(GeoServer)에서 심각한 취약점이 발견됐고, 공격자들이 이를 적극 공략하고 있다는 경고가 나왔다. 특히 다양한 멀웨어가 이 취약점을 통해 퍼지고 있음이 발견되고 있다. 따라서 빠른 패치가 요구되고 있다.
[이미지 = gettyimagesbank]
문제의 취약점은 CVE-2024-36401로, CVSS 기준 9.8점을 받았을 정도로 위험한 것으로 분석됐다. 지오서버 2.23.6, 2.24.4, 2.25.2 이전 버전들 모두 이 취약점을 내포하고 있으며, 익스플로잇에 성공한 공격자는 피해자의 지오서버 및 관련 시스템들을 장악할 수 있게 된다고 한다. 이 취약점에 대한 보안 권고문은 지난 7월 1일에 발표됐으나 아직 패치가 다 적용되지 않은 것으로 보인다.
이에 지난 7월 15일 미국의 사이버 보안 전담 기관인 CISA는 이 취약점을 긴급 패치 목록인 KEV에 추가하기도 했다. CISA가 어떤 취약점을 KEV 목록에 넣었다면, 그건 그 취약점이 실제 익스플로잇 공격에 활용되고 있다는 의미가 된다. 보안 업체 포티넷(Fortinet)은 이러한 공격 시도를 여러 번 발견하고, 그와 관련한 정보를 수집하는 데 성공했다고 밝혔다.
첫 번째 멀웨어, 고리버스
“저희가 관찰한 바 공격자들은 인도의 IT 서비스 업체, 미국의 기술 회사, 벨기에의 정부 기관, 태국과 브라질의 통신 회사를 대상으로 불법 접근을 시도하고 있었습니다. 이 때 공격자들은 특정 도메인에서부터 악성 스크립트를 가져왔고, 이 스크립트는 피해자의 시스템을 확인한 후 맞춤형으로 추가 파일을 다운로드 했습니다. 이 파일은 여러 리눅스 계열 OS에서 실행이 가능하며, 실행된 이후에는 자가 삭제를 진행했습니다.” 포티넷의 설명이다.
그렇게 해서 마지막에 실행되는 건 고리버스(GOREVERSE)라는 멀웨어로, 공격자들은 이것을 통해 피해자의 시스템에 접근할 수 있게 된다. “고리버스는 18201 포트로 연결되며, 이를 통해 공격자와 통신합니다.”
두 번째 멀웨어, 사이드워크
다른 멀웨어가 전파되는 사례도 있었다. “남아메리카, 유럽, 아시아 지역의 일부 조직들이 주요 표적인 것으로 보이는 캠페인에서는 사이드워크(SideWalk)라는 멀웨어가 활용됐습니다. 사이드워크의 경우 또 다른 도메인에서 스크립트가 전달되고, 이를 통해 실행파일이 다운로드 됩니다. 이게 바로 사이드워크인데, 이전부터 잘 알려져 있던 고급 리눅스 백도어입니다. APT41이라는 해킹 그룹이 종종 사용하는 것으로 알려져 있습니다.”
다만 이번 캠페인에서 발견된 사이드워크의 경우 ARM, MIPS, X86 아키텍처에서 작동되도록 설계되었다고 한다. 또한 이 캠페인의 배후에도 APT41이 있는지도 아직은 확인되지 않았다. “피해자의 시스템에 올라타는 데 성공한 사이드워크는 TMP 디렉토리에 폴더를 하나 만듭니다. 이 폴더의 이름은 무작위 문자열로 구성되어 있습니다. 그런 다음 두 개의 라이브러리 파일과 다음 단계에 사용할 악성 페이로드를 이 폴더로 다운로드 합니다. 다운로드 후 파일들을 디코딩 하고, 다음 단계 페이로드를 실행시킵니다.”
이 페이로드가 결국 사이드워크 공격의 궁극적 목표라고 할 수 있는데, 포티넷이 파악한 이 페이로드의 세 가지 주요 기능은 다음과 같다.
1) 디코딩 : 차차20(ChaCha20)이라는 알고리즘을 활용하여 인코딩 되어 있는 콘텐츠를 디코딩하고, 이를 통해 C&C 서버 도메인을 추출한다.
2) C&C 통신 : 위에서 추출된 서버 주소에 접속해 연결 상태를 만든다. 연결 후 초기 패킷을 서버와 주고 받는데, 이 때 암호화 된 패킷이 사용된다. 따라서 이를 디코딩할 필요가 있다. 피해자의 시스템 정보가 이 단계에서 전송되기도 한다.
3) 명령 실행 : C&C 서버는 초기 연결 단계가 지나가면 명령을 전달한다. 이 페이로드는 이러한 명령들을 실행할 수 있다. 이 단계에서 FRP(Fast Reverse Proxy)라는 플러그인이 활용되기도 한다. FRP는 정상적인 네트워크 도구이지만 공격자들이 예전부터 공격에 활용해 왔었다.
세 번째 멀웨어, 미라이
미라이 변종이 관여되어 있다는 사실도 추적과 분석을 통해 발견됐다. “역시나 이 공격도 스크립트에서부터 출발합니다. 이 스크립트가 어떤 도메인에서 스카이(sky)라는 파일을 다운로드 하여 실행합니다. 그런 다음 파일의 권한을 변경해 geo라는 매개변수와 함께 실행시킵니다. 여기까지 진행되면 스카이라는 파일은 저절로 삭제됩니다. geo라는 매개변수와 실행되면 C&C 서버의 정보가 추출됩니다.”
C&C 서버로부터는 CVE-2017-17215라는 취약점과 관련된 페이로드가 하드코딩 된 채로 전달된다고 한다. 그리고 이 페이로드는 피해자의 시스템에 삽입되어서는 또 다른 도메인에서 추가 멀웨어를 다운로드 한다. 이 추가 멀웨어가 미라이의 변종이다. 다만 이 미라이가 어느 지역이나 국가를 노리는지, 주로 어떤 공격을 하는지는 아직 공개되지 않고 있다. 원래 미라이는 디도스 공격에 특화되어 있는 봇넷 멀웨어다. 이번 변종도 그럴 가능성이 높다.
네 번째 멀웨어, 콘디
콘디(Condi)도 미라이처럼 봇넷의 일종이다. 공격자들은 지오서버의 취약점을 통해 콘디를 퍼트리기도 하는데, 이를 위해 제일 먼저 피해자의 시스템 내에서 실행되고 있는 여러 프로세스들을 종료시킨다. “종료의 대상은 mpsl, mipsel, bash.mpsl, mips, x86_64, x86입니다. 그런 후 원격 서버에서 피해자 CPU의 아키텍처에 맞는 봇 바이너리를 다운로드 하고 실행시킵니다. 주로 /tmp라는 디렉토리에 저장됩니다.”
이 때 저장되는 것이 콘디이며, 콘디의 실행까지 이르게 되면 특정 도메인으로 다수의 DNS 쿼리를 전송하기 시작한다. “그런 후 C&C 서버와 연결하고, 대기하면서 추가 명령을 기다립니다. 주로 디도스 공격을 실시하는 봇넷이기 때문에 디도스 관련 공격 명령이 전달됩니다. 콘디는 TCP플러딩(TCP Flooding), UDP플러딩(UDP Flooding), VSE 등 다양한 디도스 공격을 구사할 수 있습니다.”
콘디의 원격 서버를 추적한 결과 리눅스2.4(Linux2.4)라는 또 다른 봇넷과도 관련되어 있다는 사실이 드러났다. “리눅스2.4 봇넷 역시 디도스 공격을 실시하는 데 활용되는 멀웨어입니다. 또한 일종의 백도어로도 활용이 가능합니다.”
다섯 번째 멀웨어, 코인마이너
마지막으로 지오서버 사태와 관련하여 발견된 멀웨어는 코인마이너(CoinMiner)였다. 이름 그대로 암호화폐를 채굴하는 기능을 가진 멀웨어다. “이 공격에서 공격자들은 원격 서버로부터 스크립트를 먼저 다운로드 받습니다. 그런 후 그것을 script.sh라는 이름으로 저장합니다. 뿐만 아니라 이 스크립트는 피해자 시스템의 정보를 수집하기도 합니다. 그런 후 클라우드와 관련된 프로세스들을 제거하여 모니터링을 회피하려 하기도 합니다.”
스크립트의 주석이 간체 중국어로 작성되어 있기 때문에 이 캠페인의 배후에 중국인 해커가 있을 가능성이 높다고 포티넷은 보고 있다. 이 스크립트는 모니터링을 회피한 후 추가 보안 프로세스들을 찾아 종료시키기도 한다. 그렇게 환경을 안전하게 만든 후에야 코인마이너가 다운로드 되며 작동을 시작한다. 이 때 코인마이너가 지속적으로 작동할 수 있도록 공격 지속성을 확보하는 기능을 가진 스크립트가 같이 다운로드 된다.
그런데 또 다른 코인 채굴 멀웨어가 발견되기도 했다. 이 멀웨어를 다운로드 하는 스크립트의 경우 베이스64(Base64)로 인코딩 되어 있으며, 주석이 인도네시아어로 작성되어 있었다. 다른 채굴 프로세스를 찾아 삭제하는 기능도 가지고 있다고 한다. 그런 다음 다운로드 되는 채굴 멀웨어는 XM리그(XMRig)인 것으로 보인다고 포티넷은 밝혔다.
"지오서버는 오픈소스라는 특성을 가지고 있습니다. 그만큼 유연하고 널리 사용되며 맞춤 설정하기 편하다는 뜻입니다. 그러한 특성은 사용자에게 많은 이득을 가져다줄 수 있지만, 악의적으로 활용되기도 합니다. 공격자들이 이런 지오서버에서 발견된 취약점을 너도나도 이용하여 갖가지 멀웨어를 퍼트리고 있는 것만 봐도, 공격자들이 이런 오픈소스를 얼마나 악용하고 싶어하는지, 얼마나 준비가 잘 되어 있는지를 알 수 있습니다. 따라서 빠른 패치 적용에 더불어 종합적인 위험 완화 대책을 마련해 도입하는 게 중요합니다.”
3줄 요약
1. 지오서버라는 오픈소스에서 CVE-2024-36401라는 취약점이 발견됨.
2. 이 취약점을 통해 이미 공격자들은 다양한 멀웨어를 퍼트리고 있음.
3. 여러 보안 방어책들을 동원하여 스스로를 안전히 보호할 수 있어야 함.
[국제부 문정후 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
