Hackers Using Supershell Malware To Attack Linux SSH Servers
공격 개요
- 해커들이 Linux SSH 서버를 타겟으로 Supershell이라는 Go 언어로 작성된 역방향 셸 백도어를 활용한 공격을 감행
- Supershell을 통해 공격자는 감염된 시스템을 원격으로 제어할 수 있음
공격 방법
- 초기 감염 후 공격자는 추가적인 취약한 타겟을 식별하기 위해 스캐너를 배포
- 수집된 인증 정보를 사용해 사전(dictionary) 공격을 통해 취약한 SSH 서버를 공격
- 공격자들은 wget, curl, tftp, ftpget 명령어를 사용하여 웹 서버, FTP 서버 등에서 악성 스크립트를 다운로드하고 이를 실행
취약한 시스템의 문제점
- 공격자들은 흔히 “root/password” 또는 “root/123456789” 와 같은 약한 비밀번호를 악용하여 시스템에 불법적으로 접근
- 이러한 취약한 자격 증명은 시스템을 원격 제어, 민감한 정보 유출, 운영 방해 등에 사용될 수 있음
공격 목적
- Supershell 백도어를 통해 원격 제어가 주된 목표이지만, 암호화폐 채굴기(XMRig) 설치와 같은 추가적인 공격 가능성도 존재
주요 악성 행위
- 다운로드된 스크립트를 실행해 원격 액세스를 제공하고, 추가적인 악성코드 설치 시도
- 공격 흔적을 제거하기 위해 스크립트 및 파일 삭제
- Cobalt Strike 백도어 및 ElfMiner 등 추가 악성 페이로드 다운로드 시도
보안 권고
- 강력한 비밀번호 사용과 정기적인 시스템 업데이트를 통해 보안 취약점을 줄이는 것이 중요
- 방화벽 및 V3 등의 보안 솔루션 업데이트를 통해 악성코드 감염 예방
- SSH 서버 보안 관리를 강화하고, 특히 암호화폐 채굴기 설치를 방지하기 위한 조치가 필요
'Kant's IT > Issue on IT&Security' 카테고리의 다른 글
| PCI DSS v4.0 준수 관리 및 혁신적 스크립트 승인 메커니즘 (0) | 2024.09.24 |
|---|---|
| 이란 배후 'UNC1860', 중동 통신·정부기관에 백도어 설치 (0) | 2024.09.24 |
| 델에서 발생한 소규모 데이터 침해 사고 (0) | 2024.09.24 |
| TrickMo Android 트로이목마, 접근성 서비스 악용해 기기 내 금융 사기 수행 (0) | 2024.09.24 |
| 대학 교양수업에서의 개인정보 및 초상권 침해 논란 (3) | 2024.09.24 |