새로운 리눅스 맬웨어를 이용한 사이버 스파이 활동

ESET는 중국의 Gelsemium 그룹과 연결된 리눅스 악성 코드를 발표했습니다. 이는 WolfsBane과 FireWood 백도어를 통해 민감한 데이터를 대상으로 사이버 스파이 활동을 진행합니다.

ESET 사이버보안 연구원들이 “WolfsBane”이라는 이름의 새로운 유형의 리눅스 시스템용 악성소프트웨어를 발견했습니다. 이것은 그들이 중국 해커 그룹 Gelsemium와 관련이 있다고 믿고 있습니다.

이 그룹은 세련된 공격으로 알려져 있으며, 2014년부터 주로 윈도우 시스템을 대상으로 활동해 왔습니다. 이 새로운 악성 소프트웨어는 해커들이 점점 더 공격 대상으로 삼는 플랫폼인 리눅스와 처음으로 Gelsemium이 연결된 경우입니다,라고 ESET는 말합니다.

ESET는 Gelsemium이 시스템에 무단 접근하기 위해 사용한 이전의 악성 소프트웨어, Gelsevirine와 유사한 WolfsBane 백도어에 대해 보고하고 있습니다.

두 도구 모두는 해커가 제어하는 서버와의 통신 방법, 명령을 실행하는 방식, 그리고 감염된 시스템 내에서 자신의 존재를 숨기는 방식 등 주요 기능을 공유합니다.

WolfsBane은 특수화된 라이브러리와 암호화 방법을 사용하여 탐지를 피하며, 이를 통해 해커들이 피해자의 시스템을 장기간 모니터링하고 민감한 정보를 눈에 띄지 않게 훔칠 수 있게 해준다고 ESET이 말했습니다.

WolfsBane과 함께, 연구자들은 “FireWood”라는 다른 백도어도 발견했는데, 이것이 Gelsemium과 또한 연결될 수 있지만, 그 연결성은 확실치 않습니다.

FireWood는 그 구조와 암호화 방법 등에서 그룹이 과거에 실시한 사이버 공격에 사용된 악성 소프트웨어와 유사성을 공유합니다. 그러나, 다른 해커 그룹들 사이에서 공유되는 도구의 가능성 때문에, Gelsemium과의 연결은 확인되지 않았다고 ESET은 말합니다.

ESET는 이러한 악성 코드 도구들이 사이버 스파이를 위해 설계되었으며, 공격자들이 시스템 데이터, 자격 증명, 파일을 도난당하게 해준다고 설명합니다.

윈도우 시스템에 대한 강화된 보안 조치들, 예를 들어 엔드포인트 탐지 도구와 마이크로소프트의 이메일 보안 변경 사항 등으로 인해 해커들이 새로운 공격 경로를 찾기 위해 리눅스 악성 코드로의 방향을 전환하고 있습니다. ESET는 많은 인터넷 직면 시스템들이 리눅스에서 작동하고 있어, 이것이 사이버 범죄자들에게 매력적인 목표가 되고 있다고 지적합니다.

해당 악성 소프트웨어는 VirusTotal에 업로드된 아카이브에서 발견되었는데, 이는 보안 전문가들이 의심스러운 파일을 분석하는데 사용하는 서비스입니다. 이 악성 소프트웨어는 대만, 필리핀, 싱가폴의 서버에서 배포된 것으로 보입니다. 조사 결과, 해커들은 웹 애플리케이션의 취약점을 통해 이 서버들에 접근한 것으로 추정됩니다.

ESET 연구원들이 악성 소프트웨어를 계속 분석하는 동안, 공격자들이 고급 기술을 사용하여 침해된 시스템에 장기간 접근을 유지하며, 이로 인해 이들을 탐지하고 제거하기 어렵게 만든다는 것을 확인하였습니다.

WolfsBane과 FireWood의 발견은 리눅스를 대상으로 한 사이버 공격의 증가하는 위협을 강조하며, 모든 플랫폼에서 더 강력한 보안 조치의 필요성을 강조합니다.