악성 Go Crypto 모듈이 비밀번호를 탈취하고 Rekoobe 백도어를 배포
Source: The Hacker News
개요
사이버 보안 연구원들은 비밀번호를 수집하고 지속적인 SSH 접근을 생성하며 Rekoobe 라는 리눅스 백도어를 배포하는 악성 Go 모듈을 공개했습니다.
github.com/xinfeisoft/crypto 모듈은 정품 golang.org/x/crypto 저장소를 가장합니다. 이 모듈은 터미널 비밀번호 프롬프트를 통해 입력된 비밀 정보를 원격 엔드포인트로 유출하고, 그에 대한 응답으로 쉘 스크립트를 받아 실행하도록 코드를 삽입합니다.
“이 활동은 네임스페이스 혼동 및 정품 golang.org/x/crypto 하위 저장소(및 그 GitHub 미러인 github.com/golang/crypto)를 가장하는 행위에 해당합니다. 정품 프로젝트는 go.googlesource.com/crypto 를 정식으로 지정하고 GitHub 를 미러로 취급하는데, 위협 행위자는 이를 악용해 github.com/xinfeisoft/crypto 를 의존성 그래프에서 일상적인 것으로 보이게 합니다.” – Kirill Boychenko, Socket 보안 연구원
Source
백도어 작동 방식
자격 증명 수집
악성 코드는 ssh/terminal/terminal.go에 배치됩니다. 피해자 애플리케이션이 비밀번호를 터미널에서 읽기 위해 호출하는 ReadPassword()가 실행될 때마다, 해당 모듈은 입력된 비밀을 캡처하여 원격 서버로 전송합니다.
스테이징 스크립트
다운로드된 스크립트는 Linux 스테이저 역할을 합니다:
- 공격자의 SSH 공개 키를
/home/ubuntu/.ssh/authorized_keys에 추가합니다. - 기본
iptables정책을ACCEPT로 설정하여 방화벽 제한을 완화합니다. - 외부 서버에서 추가 페이로드를 가져오며, 파일 확장자를
.mp5로 위장합니다.
페이로드
-
연결성 헬퍼 – 인터넷 연결을 테스트하고 TCP 포트 443에서 IP
154.84.63[.]184에 접속합니다. 주로 정찰이나 로더 역할을 수행하는 것으로 보입니다. -
Rekoobe 백도어 – 2015년부터 야생에서 발견된 알려진 Linux 트로잔입니다. 공격자 제어 서버로부터 명령을 받아 다음을 수행할 수 있습니다:
- 추가 페이로드 다운로드
- 파일 탈취
- 리버스 쉘 실행
Rekoobe는 APT31과 같은 중국 국가 지원 그룹이 수행한 공격에서 관찰된 바 있습니다.
완화 및 권고사항
- 패키지는 여전히 pkg.go.dev 에 나열되어 있지만, Go 보안 팀은 이를 악성으로 표시했습니다.
- 방어자는:
- 정품 네임스페이스를 모방하는 사기 모듈에 대해 Go 의존성을 감사해야 합니다.
ReadPassword()또는 기타 자격 증명 처리 함수에 대한 예상치 못한 호출을 모니터링하십시오.curl | sh파이프라인을 통해 가져온 원격 스크립트 실행을 제한하십시오.- 모듈 출처를 검증하는 공급망 보안 도구(예: 체크섬 검증, 서명된 릴리스)를 사용하십시오.
“이 캠페인은 패턴이 낮은 노력으로 높은 영향을 주기 때문에 반복될 가능성이 높습니다: 고가치 경계(ReadPassword)에 훅을 거는 유사 모듈, 회전 포인터로 GitHub Raw를 사용하고, 이후
curl | sh스테이징 및 Linux 페이로드 전달로 전환합니다.” – Kirill Boychenko