Impotant:
요약:
Rekoobe는 리눅스 환경을 대상으로 하는 백도어 악성코드로, 2015년에 최초로 확인되었고, APT31 공격 그룹이 사용하고 있다. AhnLab Security Emergency response Center(ASEC)에서는 국내 고객사들로부터 Rekoobe 악성코드가 꾸준하게 접수되고 있으며, 다양한 변종들을 분류하고 공격에 사용된 Rekoobe 악성코드들을 함께 정리하고 있다. 깃허브에 공개된 오픈 소스인 Tiny SHell의 소스 코드를 기반으로 제작된 Rekoobe은 C&C 서버의 명령을 받아 다운로드, 업로드 그리고 명령 실행 3가지 기능을 지원한다.
Rekoobe는 중국의 APT31 공격 그룹이 사용하고 있는 백도어 악성코드로 2015년에 최초로 확인되었다. AhnLab Security Emergency response Center(ASEC)에서는 국내 고객사들로부터 Rekoobe 악성코드가 꾸준하게 접수되고 있으며, 다양한 변종들과 공격에 사용된 Rekoobe 악성코드들을 분류하고 정리하고 있다. 깃허브에 공개된 오픈 소스인 Tiny SHell의 소스 코드를 기반으로 제작된 Rekoobe은 다운로드, 업로드 및 명령 실행 기능을 지원한다.
내용:
Rekoobe은 중국의 APT31 공격 그룹이 사용하고 있는 것으로 알려진 백도어 악성코드이다. AhnLab Security Emergency response Center(ASEC)에서는 수년 전부터 국내 고객사들로부터 Rekoobe 악성코드가 꾸준하게 접수되고 있음에 따라 간략한 분석 정보를 공유한다. 또한 다양한 Rekoobe 변종들을 분류하고 국내 업체들을 대상으로 하는 공격에 사용된 Rekoobe 악성코드들을 함께 정리한다.
1. 개요
Rekoobe은 리눅스 환경을 대상으로 하는 백도어 악성코드이다. 2015년에 최초로 확인되었으며, [1] 2018년에는 업데이트된 버전이 공격에 사용되고 있는 사례가 존재한다. [2] ELF 포맷의 Rekoobe은 아키텍처가 x86, x64 그리고 SPARC인 것을 보아 주로 리눅스 서버를 공격 대상으로 하는 것으로 추정된다.
깃허브에 공개되어 있는 오픈 소스인 Tiny SHell의 소스 코드를 기반으로 제작된 것으로 알려진 Rekoobe은 Tiny라는 이름처럼 기본적인 기능을 지원한다. [3] 프로세스 이름 변경과 같은 보조적인 기능을 제외하면 C&C 서버의 명령을 받아 다운로드, 업로드 그리고 명령 실행 3가지 기능이 전부이다. 오픈 소스를 기반으로 하기 때문에 유사한 유형들까지 대상으로 한다면 분류에 어려움이 있겠지만 여기에서는 일반적으로 알려진 Rekoobe 유형들을 분석한다.
공격자가 어떤 방식으로 리눅스 시스템에 Rekoobe을 설치하는지 그리고 어떤 대상을 공격하는지에 대한 정보는 많지 않지만, Rekoobe는 중국의 공격 그룹인 APT31이 사용하는 악성코드로 알려져 있다. [4]
일반적으로 리눅스 서버를 대상으로 하는 악성코드들은 부적절하게 관리되고 있는 서버나 최신 버전으로 업데이트하지 않아 취약한 서버를 대상으로 한다. 참고로 Rekoobe의 공격자가 다수의 리눅스 서버를 대상으로 스캐닝 및 브루트 포싱 공격을 통해 공격한 사례는 확인되고 있지 않다.
이에 따라.....
국내 리눅스 시스템 공격에 사용되고 있는 Rekoobe 백도어 분석 - ASEC BLOG:
https://asec.ahnlab.com/ko/55070/
'Security > News' 카테고리의 다른 글
| 리눅스 시스템을 노리는 Reptile 악성코드 - ASEC (0) | 2023.09.18 |
|---|---|
| 사기 캠페인과 관련된 관련 Cherryblos 및 Faketrade Android 맬웨어 (0) | 2023.09.18 |
| Proofpoint AEGIS 위협 보호 플랫폼 (0) | 2023.09.18 |
| Redline/Vidar Abuses EV 인증서, 랜섬웨어 (0) | 2023.09.18 |
| REDFLY : ShadowPad Trojan 중요한 인프라 공격 (0) | 2023.09.18 |