CISA & FBI 曰 "유명 클라우드 앱의 크리덴셜 간수하라"

미국의 사이버 보안 전담 기관인 CISA와 FBI가 보안 경고문을 발표했다. 골자는 최근 아파치 웹 서버와 웹사이트를 겨냥한 멀웨어 유포 공격이 이뤄지고 있으니 이에 대한 대비를 하라는 것이다.

 

아마존 웹 서비스(AWS)나 마이크로소프트 오피스 365와 같이 한국에서도 널리 쓰이는 애플리케이션에서 악의적인 자격증명 수집을 위한 안드록고스트(Androxgh0st) 악성코드가 배포되고 있다는 것이다. 23년 1월, Fortinet의 분석에 따르면 해당 악성코드는 약 40,000개의 호스트를 감염시켰다고 한다. 그리하여 공격자들은 앱에 있는 각종 민감 정보에 접근할 수도 있고, 아예 악의적인 목적을 갖고 앱을 사용할 것이다. 한 번 크리덴셜을 탈취하면, 그때부터는 공격자의 세상인 것이다.

 

이 안드록고스트는 2022년 12월에 Lacework가 처음 발견해 알려졌으며, 그래서 그렇게 낯선 해킹 도구는 아니다. 파이썬을 기반으로 하고 있으며, 크리덴셜을 비롯한 민감 정보를 애플리케이션으로부터 찾아내 추출하는 기능을 갖고 있다. 안드록고스튼 라라벨을 공략하는데, 라라벨은 일반적으로 웹 개발 업무를 할 때 널리 사용되는 것으로 알려져 있다. 라라벨 프레임워크는 .env 확장자를 갖으며, 공격자는 이것을 주로 노리는 것이다. 여기에 각종 기밀이 저장되어 있는 경우도 많기 때문이다.

 

그런데 이번 24년 1월의 공격 양상을 보면, 공격이 .env에만 집중된 것은 아니다. 공격자들은 특정 취약점을 찾기 위해 계속 스캔하고 있으며, 특히 많이 검색되는 내용이 CVE-2017-9841인 원격 코드 실행 취약점이다. 그래서 취약점을 발견하면 이를 Exploit하여 다양한 멀웨어를 심는 것이다. 여기에 안드록고스트가 포함되어 있는 것이고, 포함되어 있다는 말은 결국 다른 친구들도 넘친다는 말이다. 침해된 장비는 공격자들이 운영하는 거대한 봇넷의 일원으로 편입될 것이고, 공격자들은 이 봇넷을 이용해 여러 취약점 정보를 수집한다. CVE-2017-9841의 경우 2017년 발견된 이후 현재까지 공격 시도만 해도 수백만 건에 달한다. 인기있는 녀석이라는 말이다. CISA는 과거에 중국의 해커들이 주로 이것을 통해 익스플로잇한다고 발표한 바 있다... 참 이런 소식을 들을 때면 나오는 국가 둘은 왜 우리와 뗄래야 뗄 수 없는 녀석들일까.

 

여하튼 이런 위협에 맞서기 위해 CISA와 FBI는 3가지 권고사항을 발표했다.

 

1. 인터넷에 다이렉트로 연결된 시스템들의 경우 최신화 작업을 수시로 진행할 것

2. 꼭 필요한 서버와 서비스들에 한해서만 인터넷에 연결할 것

3. .env 파일이 어디에 얼마나 저장되어 있는지 전수 확인하고, 그 중에 크리덴셜 정보가 저장되어있는 것은 무엇인지 확인하여 접근 조치의 방안을 마련할 것 

 

기사 출처: https://potomacofficersclub.com/news/a-joint-fbi-cisa-advisory-has-warned-that-hackers-are-deploying-the-androxgh0st-malware-to-maliciously-gather-credentials-from-popular-applications-like-amazon-web-services/