중국의 APT 단체 겔세뮴, 처음으로 리눅스 기반 시스템 공격하기 시작
중국의 APT 단체 겔세뮴, 처음으로 리눅스 기반 시스템 공격하기 시작
중국의 해킹 단체인 겔세뮴(Gelsemium)이 새로운 백도어를 사용하기 시작했다. 한 번도 발견된 적이 없던 것으로, 리눅스 기반 시스템을 공략하기 위해 개발된 것으로 보인다. 또한 기존에 발견된
www.boannews.com
- 주요 내용
- 중국 기반 APT 그룹 겔세뮴
- 기존에는 주로 윈도우 시스템 공격
- 최초로 리눅스 기반 시스템을 목표로 한 공격 감행
- 사용된 새로운 리눅스 멀웨어
- 울프스베인(WolfsBane): 겔세비린(Gelsevirine, 윈도우용)의 리눅스 버전으로 추정
- 파이어우드(FireWood): 기존 멀웨어 프로젝트우드(Project Wood)의 리눅스 버전
- 중국 기반 APT 그룹 겔세뮴
- 공격 방식
- 멀웨어 배포 단계
- 웹 애플리케이션 취약점 활용 또는 드로퍼 사용
- cron 및 KDE 위장 바이너리로 초기 실행
- 루트킷(BEURK)을 이용한 은닉 및 지속성 확보
- 주요 기능
- 시스템 정보, 크리덴셜, 특정 파일 및 디렉토리 탈취
- C&C 서버와 암호화된 통신(TEA 암호화)
- 멀웨어 배포 단계
- APT 그룹 간 협력 가능성
- 파이어우드
- 다른 중국 APT 조직들과의 연계 가능성 제기
- 코드 및 통신 프로토콜에서 유사점 발견
- 중국 APT 간 도구 및 기술 공유 추정
- 파이어우드
- APT 그룹의 전략 변화
- 윈도우 보안 강화로 인한 리눅스 대상 공격 증가
- 마이크로소프트의 VBA 매크로 기본 비활성화
- 이메일 및 엔드포인트 보안 강화
- 리눅스는 현재 보안 수준이 상대적으로 낮아 새로운 표적이 됨
- 윈도우 보안 강화로 인한 리눅스 대상 공격 증가
- 결론
- 리눅스 환경 보안 강화 필요
- 엔터프라이즈 서버 및 클라우드 환경에서 취약점 관리와 모니터링 필수
- APT 조직의 협력 추세 주목
- 공격 도구 및 기술 공유 가능성을 염두에 두고 보안 체계 수립
- 보안 업계는 멀웨어 탐지 및 대응 기술 지속 발전 필요
- 루트킷 및 은닉된 멀웨어 탐지를 위한 고급 보안 솔루션 도입 중요
- 리눅스 환경 보안 강화 필요
'Kant's IT > Issue on IT&Security' 카테고리의 다른 글
| 클라우드 유닛과 맞춤형 지표: 클라우드 가치를 측정하는 최적의 접근법 (2) | 2024.12.06 |
|---|---|
| 카프카, 플링크, 아이스버그를 활용한 데이터 엔지니어링의 3가지 트렌드 (2) | 2024.12.05 |
| 자율보안 시대: 능동적 공격표면 관리의 중요성 (0) | 2024.12.05 |
| 가장 큰 IT 위협: 무해해 보이는 웹 브라우저의 보안 문제 (0) | 2024.12.05 |
| 러시아 해킹 그룹 '롬롬', 파이어폭스와 윈도의 제로데이 취약점 악용 (1) | 2024.12.04 |