Self-Propagating Malware가 Open Source Software를 오염시키고, 이란 기반 머신을 삭제
Source: Slashdot
개요
익명 독자는 Ars Technica의 보고서를 인용한다: 새로운 해킹 그룹이 지속적인 캠페인으로 자기 전파형이면서 이전에 본 적 없는 백도어를 퍼뜨리고 있으며, 흥미롭게도 이란 기계를 목표로 하는 데이터 와이퍼도 포함하고 있다. TeamPCP라는 이름으로 추적되는 이 그룹은 12월에 보안 업체 Flare의 연구원들이 제대로 보안되지 않은 클라우드 호스팅 플랫폼을 표적으로 하는 웜을 배포한 것을 관찰하면서 처음으로 주목받았다. 목표는 분산 프록시와 스캔 인프라를 구축한 뒤 이를 이용해 서버를 장악해 데이터 유출, 랜섬웨어 배포, 갈취, 암호화폐 채굴을 수행하는 것이었다. 이 그룹은 대규모 자동화와 잘 알려진 공격 기법의 통합에 뛰어난 기술력을 보유한 것으로 알려졌다.
Trivy에 대한 공급망 공격
최근 TeamPCP는 지속적으로 진화하는 악성코드를 사용해 점점 더 많은 시스템을 장악하려는 끈질긴 캠페인을 전개하고 있다. 지난 주 말, Aqua Security(Trivy 제작자)의 GitHub 계정에 대한 특권 접근을 얻은 뒤 널리 사용되는 Trivy 취약점 스캐너의 거의 모든 버전을 공급망 공격으로 손상시켰다. 연구원들은 TeamPCP가 강력한 악성코드를 퍼뜨렸으며, 이 악성코드는 웜 기능을 갖추고 있어 피해자의 개입 없이 자동으로 새로운 머신으로 전파될 수 있음을 관찰했다.
웜 및 와이퍼 페이로드
주말이 진행되는 동안, Aikido가 CanisterWorm이라고 명명한 악성코드는 추가 페이로드를 포함하도록 업데이트되었다: 이란에만 존재하는 머신을 목표로 하는 와이퍼다. 업데이트된 웜이 시스템에 감염되면, 해당 머신이 이란 시간대에 있거나 이란에서 사용하도록 설정되어 있는지를 확인한다. 두 조건 중 하나라도 충족되면, 악성코드는 자격 증명 탈취 구성 요소를 중단하고 TeamPCP 개발자들이 Kamikaze라고 부르는 새로운 와이퍼를 작동시킨다. Eriksen은 이메일에서 아직 웜이 이란 머신에 실제 피해를 입혔다는 증거는 없지만, “활동적인 전파가 이루어질 경우 대규모 영향을 미칠 명확한 잠재력이 있다”고 밝혔다.
동기와 영향
TeamPCP의 동기는 명확하지 않다. Aikido 연구원 Charlie Eriksen은 다음과 같이 썼다:
“이념적인 요소가 있을 수도 있지만, 단순히 그룹에 대한 주목을 끌기 위한 의도된 시도일 수도 있다. 역사적으로 TeamPCP는 금전적 동기가 있었던 것으로 보였지만, 가시성이 자체 목표가 되고 있다는 징후가 있다. 보안 도구와 오픈소스 프로젝트(오늘날 Checkmarx 포함)를 공격함으로써 그들은 명확하고 의도적인 신호를 보내고 있다.”