2024-03-29 08:25 (금)
9천여 기업 4만대 이상 서버, 라우터, IoT 기기 공격한 Prowli 악성코드
상태바
9천여 기업 4만대 이상 서버, 라우터, IoT 기기 공격한 Prowli 악성코드
  • 길민권 기자
  • 승인 2018.06.11 15:38
이 기사를 공유합니다

감염 된 기기와 사이트들, 가상화폐 채굴이나 악성 사이트로 이동시키기 위해 사용

cyber-security-3410923_640.jpg
해외 보안연구원들은 전 세계 9천여 개 기업 4만대 이상의 서버, 라우터, IoT 기기들을 대상으로 공격을 성공시킨 대규모 봇넷을 발견했다고 밝혔다.

'Operation Prowli'라 불리는 이 캠페인은 익스플로잇 악용, 패스워드 브루트포싱, 취약한 구성 악용 등 다양한 기술을 사용해 전 세계 서버 및 웹사이트의 제어권을 탈취하기 위해 악성코드를 배포하고 주입했다.

Operation Prowli는 이미 금융, 교육, 정부 기관 등을 포함한 기업 9,000개 이상의 기기 4만 여대를 공격한 것으로 조사됐다.

Prowli 악성코드에 감염 된 기기 및 서비스 목록은 아래와 같다:

△인기 있는 웹 사이트를 호스팅하는 Drupal 및 WordPress CMS 서버 △K2 확장을 실행하는 Joomla! 서버 △HP Data Protector 소프트웨어를 사용하는 백업 서버 △DSL 모뎀 △오픈 된 SSH 포트가 있는 서버 △PhpMyAdmin △NFS 박스 △SMB 포트가 노출 된 서버 △취약한 IoT 기기 등이다. 이 기기들은 모두 알려진 취약점이나 크리덴셜 추측을 통해 감염 되었다.

한편 Prowli 공격의 배후에 있는 공격자들이 감염 된 기기와 웹사이트들을 가상화폐를 캐거나 악성 웹사이트로 이동시키기 위해 사용하고 있기 때문에, 연구원들은 그들이 이데올로기나 스파이 활동 보다는 돈을 버는데 집중하고 있는 것으로 추정된다.

연구원들은 "해킹 된 기기들은 모네로(XMR) 가상화폐 채굴기 및 'r2r2'웜에 감염되어 있었다. 이로써 Prowli가 새로운 기기를 탈취할 수 있게 된다"며 “r2r2는 랜덤으로 IP 주소 블록을 생성하고 SSH 로그인을 위한 브루트포싱을 반복적으로 시도한다”고 설명했다.

이 명령들은 하드코딩 된 원격 서버로부터 서로 다른 CPU 아키텍쳐를 위한 웜의 복사본 다수, 가상화폐 채굴기, 구성파일을 다운로드하는 역할을 한다.

한편 가상화폐 채굴기 이외에도 공격자들은 'WSO Web Shell'이라는 잘 알려진 오픈 소스 웹쉘을 사용해 해킹한 서버를 수정해 웹사이트의 방문자들을 악성 브라우저 확장 프로그램을 배포하는 가짜 사이트로 유도한다.

연구원들은 “3주 동안, 다양한 국가 및 조직의 IP 180개 이상으로부터 이루어지는 이러한 공격을 하루에 수십 건 목격했다. 이러한 공격으로 인해, 우리는 공격자의 인프라를 조사하고 다수의 서비스를 공격하는 광범위한 작업을 발견할 수 있게 되었다"고 밝혔다.

이스트시큐리티 측은 "공격자는 기기를 해킹하기 위해 알려진 취약점들 및 크리덴셜 추측 공격을 사용다. 따라서 사용자들은 시스템을 최신 버전으로 업데이트하고 기기에 강력한 패스워드를 사용해야 한다"며 "사용자는 시스템을 잠그고 취약하거나 보안을 적용하기 어려운 시스템들을 네트워크의 나머지 부분과 분리하기 위해 시스템을 세분화 하는 것을 고려해야 할 것"이라고 전했다.

★정보보안 대표 미디어 데일리시큐!★


■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★