중국의 해킹 그룹인 Evasive Panda가 네트워크 장비의 SSH 데몬을 탈취하여 지속적인 접근과 은밀한 작업을 수행하고 있습니다. Fortinet의 Fortiguard 연구자들에 따르면, 이 공격은 "ELF/Sshdinjector.A!tr"라는 이름으로, SSH 데몬에 주입된 맬웨어 모음으로 구성되어 있습니다. 이는 네트워크 장비에 대한 공격에 사용되었으며, Evasive Panda는 2012년부터 활동하고 있으며, 최근에는 macOS 백도어를 배포하는 공격, 아시아의 ISP를 통한 공급망 공격, 그리고 미국 조직으로부터 정보를 수집하는 4개월간의 작업을 수행하였습니다.
네트워크 장비가 처음으로 어떻게 침해되는지에 대한 정보는 공유되지 않았지만, 한번 장비가 침해되면, 드로퍼 컴포넌트가 장비가 이미 감염되었는지, 루트 권한으로 실행되고 있는지를 확인합니다. 조건이 충족되면, SSH 라이브러리를 포함한 여러 바이너리가 대상 기계에 드롭됩니다. 이 파일은 주요 백도어 컴포넌트로, 명령 및 제어 통신과 데이터 유출을 담당합니다. 'mainpasteheader'와 'selfrecoverheader'와 같은 다른 바이너리는 공격자가 감염된 장치에 지속성을 확보하는 데 도움을 줍니다.
악성 SSH 라이브러리는 SSH 데몬에 주입되고, 시스템 정찰, 자격증명 도난, 프로세스 모니터링, 원격 명령 실행, 파일 조작 등을 수행하기 위해 C2로부터 들어오는 명령을 기다립니다. Fortiguard는 이 맬웨어를 역설계하고 분석하기 위해 AI 보조 도구를 사용했다고 밝혔습니다. Fortinet는 이미 FortiGuard AntiVirus 서비스를 통해 이 맬웨어에 대한 보호를 제공하고 있습니다.
요약
- 중국의 해킹 그룹 Evasive Panda가 네트워크 장비의 SSH 데몬을 탈취하여 지속적인 접근과 은밀한 작업을 수행하고 있다.
- 이 공격은 "ELF/Sshdinjector.A!tr"라는 이름으로, SSH 데몬에 주입된 맬웨어 모음으로 구성되어 있다.
- 한번 장비가 침해되면, 드로퍼 컴포넌트가 장비가 이미 감염되었는지, 루트 권한으로 실행되고 있는지를 확인한다.
- 악성 SSH 라이브러리는 SSH 데몬에 주입되고, 시스템 정찰, 자격증명 도난, 프로세스 모니터링, 원격 명령 실행, 파일 조작 등을 수행하기 위해 C2로부터 들어오는 명령을 기다린다.
- Fortinet는 이미 FortiGuard AntiVirus 서비스를 통해 이 맬웨어에 대한 보호를 제공하고 있다.
※ 이 글은 생성형 AI(ChatGPT-4)에 의해 요약되었습니다.