인터넷 활발히 스캔함으로써 침투 가능한 서비스들 찾고 있어
아이언 그룹 생각나는 점들 일부 발견...아직은 연관성 결론 내리기 힘들어

[보안뉴스 문가용 기자] 최근 새롭게 발견된 멀웨어 패밀리 하나가 인터넷 스캐닝을 활발히 하고 있다고 한다. 노출된 웹 서비스와 디폴트 비밀번호로 보호되어 있는 것들을 찾기 위해서다. 이에 대해 보안 업체 AT&T 에얼리언 랩스(AT&T Alien Labs)가 보도했다.


AT&T 에얼리언 랩스는 최근 통신 거대 업체인 AT&T가 보안 업체 에얼리언볼트(AlienVault)를 인수하면서 만들어진 업체다. 이번에 발견된 새로운 멀웨어에는 쑤(Xwo)라는 이름이 붙었다. ‘쑤’는 멀웨어에서 발견된 모듈의 이름이기도 하다.

이 멀웨어는 엑스배시(Xbash)나 몽고록(MongoLock)이라는 멀웨어 패밀리와 깊은 연관성을 가지고 있는 것으로 보인다. 쑤 멀웨어 자체는 xwo.exe라는 파일 이름으로 퍼지고 있다.

AT&T 에얼리언 랩스는 “쑤가 파이선을 기초로 한 코드로 구성되어 있으며, 전체적으로 몽고록의 코드와 비슷한 느낌을 준다”고 발표했다. 몽고록은 몽고DB 서버들을 삭제하고, 관리자에게 돈을 요구하는 일종의 랜섬웨어다.

그런데다가 쑤와 몽고록은 C&C 도메인 이름도 굉장히 비슷하다고 연구원들은 말한다. “C&C 인프라가 일부 겹치기도 합니다.”

하지만 쑤의 경우 랜섬웨어의 특성을 가지고 있지 않다. 심지어 취약점을 익스플로잇 하는 기능도 없다. 그저 크리덴셜과 서비스 접근 정보를 수집하고, C&C로 전송하는 기능만을 발휘한다.

AT&T 에얼리언 랩스 측은 쑤의 파이선 스크립트를 분석하다가 엑스배시의 일부가 그대로 복사된 것을 발견하기도 했다. 엑스배시는 리눅스에서 작동하는 파괴적인 유형의 멀웨어로, 기업 내 인트라넷을 주로 공격한다. 해킹 단체인 아이언 그룹(Iron Group)가 관련이 있는 것으로 현재까지는 알려져 있다.

하지만 쑤 역시 아이언 그룹과 연관성이 있는 것인지는 정확히 말할 수 없는 단계라고 AT&T 에얼리언 랩스의 전문가들은 말한다. 그렇다고 둘이 완전히 별개의 존재라고 결론을 내리기도 이르다. “이 부분에 대해서는 아직 조사가 더 진행 중에 있습니다.”

쑤를 실행하면 제일 먼저 C&C 서버와의 연결이 이뤄진다. 그런 후 서버가 정해주는 네트워크 범위를 스캔하기 시작한다. 이건 일종의 정찰 행위로, 이 과정에서 수집된 정보는 공격자들에게 전송된다.

쑤가 모으는 정보는 다음과 같다.
1) FTP, MySQL, PostgreSQL, MongoDB, Redis, Memcached 서비스의 디폴트 크리덴셜이 사용 중인지 여부
2) 톰캣(Tomcat)의 디폴트 크리덴셜과 환경설정에서의 실수나 오류
3) 디폴트 SVN과 Git 경로들
4) 깃의 repositoryformatversion 콘텐츠
5) PhpMyAdmin 세부 내용
6) www/backup 경로들
7) RealVNC 엔터프라이즈 다이렉트 커넥트(RealVNC Enterprise Direct Connect) 세부 내용
8) RSYNC 접근성

“쑤는 랜섬웨어나 익스플로잇의 기능이 없다는 면에서 그다지 위험하지 않아 보이는 멀웨어이기도 합니다. 하지만 현재까지의 공격 양상을 관찰했을 때, 전 세계 여기저기에서 작동 중인 네트워크에 커다란 타격을 줄 가능성이 있어 보입니다. 아직 쑤 공격자들이 무엇을 위해 이토록 광범위하고 꼼꼼하게 정찰을 하는지 모르겠지만, 가까운 미래에 공격자들은 새로운 위협을 들고 활동을 시작할 것으로 보입니다.”

3줄 요약
1. 새롭게 발견된 멀웨어 패밀리, ‘쑤’, 인터넷에 노출된 서비스 활발히 찾고 있음.
2. 또한 디폴트 암호로 보호된 것들도 찾아 감염시키는 중.
3. 아직은 정보 수집 외 별다른 위협 아니지만, 모인 정보 바탕으로 대대적인 공격 있을 것으로 보임.

[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>