요약 : 보안 외신 해커뉴스에 의하면 최근 AWS, 애저, 오피스 365의 크리덴셜을 훔치는 봇넷이 공격적으로 활동하고 있다고 한다. 이 봇넷 멀웨어의 이름은 안드록스고스트(AndroxGh0st)로, 파이선을 기반으로 하고 있다. 2022년 12월에 처음 발견됐으며, 그 후 안드록스고스트를 따라한 유사 멀웨어들이 여럿 등장했다. 에얼리언폭스(AlienFox), 그린봇(GreenBot), 리전(Legion), 프레데이터(Predator) 등이 대표적이다. 클라우드 계정의 크리덴셜을 훔쳐 접속함으로써 공격자들은 여러 가지 악성 행위를 실시할 수 있게 된다.


배경 : 안드록스고스트는 여러 가지 기능을 수행할 수 있는 멀웨어로, 취약점 스캔과 익스플로잇, API 탈취와 웹셸 설치 등을 할 수 있다. 이 때문에 공격자들은 안드록스고스트로 최초 공격을 수행한 후 추가 멀웨어를 심어 공격의 지속성을 확보하려 한다. 2023년 11월부터 안드록스고스트의 활동량이 크게 늘어난 것으로 분석되고 있다.

말말말 : “클라우드 계정들로 봇넷을 구성한 공격자들은, 이를 바탕으로 강력하면서도 다양한 공격을 실시할 수 있게 됩니다. 또한 대여 사업을 통해 다른 해커들의 활동을 촉진시키기도 합니다.” -해커뉴스-
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>