링크모음 링크세상
링크세상 링크모음 링크 애니 웹툰 링크 드라마 영화 링크 세상의모든링크

P2PInfect 봇넷 활동이 더 은밀한 악성코드 변종으로 600배 급증

P2PInfect 봇넷 웜은 8월 말부터 활동량이 크게 증가한 기간을 거쳐 2023년 9월에 다시 증가합니다.

P2PInfect는 2023년 7월 Unit 42에 의해 인터넷에 노출된 Windows 및 Linux 시스템의 원격 코드 실행 결함을 사용하여 Redis 인스턴스를 침해하는 P2P 악성 코드로 처음 문서화되었습니다.

2023년 7월 말부터 봇넷을 추적해 온 Cado Security 연구원들은 오늘 전 세계적으로 활동하고 있으며 대부분의 위반이 중국, 미국, 독일, 싱가포르, 홍콩, 영국 및 일본의 시스템에 영향을 미친다고 보고했습니다.

또한 Cado는 최신 P2PInfect 샘플에는 대상으로 더 쉽게 확산되고 악성 코드의 지속적인 개발을 보여줄 수 있는 추가 및 개선 사항이 포함되어 있다고 밝혔습니다.

활동 급증

Cado는 P2PInfect 봇넷 활동을 확인합니다. 이는 악성코드가 작업을 강화할 수 있는 새로운 코드 안정성 기간에 진입했음을 나타냅니다.

연구원들은 허니팟에서 P2PInfect가 수행한 초기 액세스 시도 횟수가 꾸준히 증가하여 2023년 8월 24일 현재 단일 센서에서 4,064건의 이벤트가 발생하는 것을 관찰했다고 보고합니다.

2023년 9월 3일까지 초기 액세스 이벤트는 3배로 증가했지만 상대적으로 낮은 수준을 유지했습니다.

그런 다음 2023년 9월 12일부터 19일 사이의 주에 P2PInfect 활동이 급증했으며 Cado는 이 기간에만 600배 증가한 3,619회의 액세스 시도를 기록했습니다.

“P2Pinfect 트래픽의 이러한 증가는 야생에서 발견되는 변종의 수가 증가하는 것과 일치합니다. 이는 악성 코드 개발자가 극도로 높은 개발 속도로 작업하고 있음을 시사합니다.”라고 Cado는 설명합니다.

기록된 접근 시도 이벤트
기록된 접근 시도 이벤트 (카도보안)

새로운 P2PInfect 기능

활동 증가와 함께 Cado는 P2PInfect를 더욱 은밀하고 강력한 위협으로 만드는 새로운 샘플을 관찰했습니다.

첫째, 악성코드 작성자는 이전의 ‘bash_logout’ 방법을 대체하는 cron 기반 지속성 메커니즘을 추가하여 30분마다 기본 페이로드를 트리거했습니다.

P2PInfect가 작성한 크론 작업
P2PInfect가 작성한 크론 작업 (카도보안)

또한 P2Pinfect는 이제 (보조) bash 페이로드를 사용하여 로컬 서버 소켓을 통해 기본 페이로드와 통신하며, 기본 프로세스가 중지되거나 삭제되면 피어에서 복사본을 검색하고 다시 시작합니다.

또한 이 악성코드는 SSH 키를 사용하여 침해된 엔드포인트의 SSH Authorized_key를 덮어써 합법적인 사용자가 SSH를 통해 로그인하는 것을 방지합니다.

기존 SSH 키 덮어쓰기
기존 SSH 키 덮어쓰기 (카도보안)

악성 코드에 루트 액세스 권한이 있으면 자동으로 생성된 10자 비밀번호를 사용하여 시스템의 다른 사용자에 대한 비밀번호 변경을 수행하여 해당 사용자를 잠급니다.

마지막으로 P2PInfect는 이제 클라이언트에 대해 메모리에서 동적으로 업데이트되는 C 구조체 구성을 사용하지만 이전에는 구성 파일이 없었습니다.

불분명한 목표

Cado는 최근 발견한 P2PInfect 변종이 채굴기 페이로드를 가져오려고 시도했지만 손상된 장치에서 실제 암호화폐 채굴 활동을 확인하지 못했다고 보고했습니다. 따라서 악성코드 운영자가 여전히 공격의 마지막 단계를 실험하고 있는지 여부는 불분명합니다.

봇넷 운영자는 채굴기 구성 요소를 강화하거나 P2PInfect 구독 구매자를 찾고 있을 수 있으므로 채굴기를 데모용 더미로 사용합니다.

현재 봇넷의 크기, 확산, 자동 업데이트 기능 및 이번 달 빠른 확장을 고려할 때 P2PInfect는 계속 주목해야 할 실질적인 위협입니다.

Leave A Reply

Your email address will not be published.