SSHStalker 봇넷, IRC C2를 사용해 레거시 커널 익스플로잇으로 Linux 시스템 제어

Source: The Hacker News

Ravie Lakshmanan
2026년 2월 11일 – Linux / Botnet

사이버 보안 연구원들은 SSHStalker라는 새로운 봇넷 운영에 대한 세부 정보를 공개했으며, 이 봇넷은 명령‑제어(C2) 목적으로 인터넷 릴레이 채팅(IRC) 통신 프로토콜을 사용합니다.

“이 툴셋은 스텔스 헬퍼와 레거시 시대의 Linux 익스플로잇을 결합합니다: 로그 클리너(utmp/wtmp/lastlog 변조)와 루트킷‑클래스 아티팩트 외에도, 공격자는 Linux 2.6.x‑시대 익스플로잇(2009–2010 CVE) 대규모 백‑카탈로그를 보유하고 있습니다. 이러한 익스플로잇은 최신 스택에 대해서는 가치가 낮지만, ‘잊혀진’ 인프라와 장기 레거시 환경에 대해서는 여전히 효과적입니다.” – Flare

Source

개요

• SSHStalker는 고전적인 IRC 봇넷 메커니즘을 자동화된 대규모 침해 작업과 결합합니다.
• Go로 작성된 SSH 스캐너와 기타 쉽게 구할 수 있는 스캐너들을 사용해 취약한 시스템을 장악하고 IRC 채널에 등록합니다.
• 많은 봇넷이 기회주의적 활동(예: DDoS, 프록시 탈취, 암호화폐 채굴)에 집중하는 반면, SSHStalker는 지속적인 접근을 유지하면서 눈에 띄는 사후 활용 행동을 보이지 않습니다.

이와 같은 휴면 행동은 침해된 인프라가 스테이징, 테스트, 혹은 전략적 접근 유지에 사용될 수 있음을 시사합니다.

기술 세부 사항

• Scanner – 포트 22를 탐색하여 열린 SSH 서비스를 찾아봄으로써, 웜과 같은 방식으로 봇넷을 전파합니다.
• Payloads – 포함 내용:
  • IRC‑제어 봇 변형.
  • UnrealIRCd 서버에 연결하고 제어 채널에 참여한 뒤, 플러드형 공격 명령을 기다리는 Perl 봇.
• Log‑cleaning – 컴파일된 C 프로그램을 실행해 SSH 연결 로그(utmp, wtmp, lastlog)를 삭제하고 포렌식 가시성을 낮춥니다.
• Keep‑alive – 메인 악성 프로세스가 종료될 경우 60초 이내에 재시작하는 감시자.

악용된 취약점

SSHStalker는 2009년까지 거슬러 올라가는 16개의 서로 다른 Linux 커널 취약점 카탈로그를 포함하고 있습니다. 주요 CVE는 다음과 같습니다:

(표는 나머지 CVE로 확장될 수 있습니다.)

연관 도구

Flare의 행위자 스테이징 인프라 조사에서 다음과 같은 방대한 오픈소스 공격 도구와 이전에 공개된 악성코드 저장소가 발견되었습니다:

• 스텔스와 지속성을 위한 루트킷.
• 암호화폐 채굴기.
• 대상 사이트에서 노출된 AWS 자격 증명을 탈취하기 위해 “website grabber” 라는 바이너리를 실행하는 파이썬 스크립트.
• EnergyMech, C2와 원격 명령 실행을 제공하는 IRC 봇.

출처

• 가능한 출처: 닉네임, 속어 및 IRC 채널과 구성 워드리스트에서 관찰된 명명 규칙을 기반으로 한 루마니아어.
• 운영 중첩: Outlaw 그룹(별명 Dota)과 유사한 전술, 기술 및 절차(TTPs).

“SSHStalker는 새로운 익스플로잇 개발에 초점을 맞추기보다는 성숙한 구현 및 오케스트레이션을 통해 운영 제어를 보여주는 것으로 보입니다.” – Flare

“핵심 봇 및 저수준 구성 요소에는 주로 C를 사용하고, 오케스트레이션 및 지속성을 위해 쉘을 사용하며, 제한된 Python 및 Perl 사용은 주로 공격 체인 내부의 유틸리티 또는 자동화 지원 작업 및 IRC 봇 실행에 사용한다고* Flare는 말했습니다.*

“위협 행위자는 제로데이 또는 새로운 루트킷을 개발하는 것이 아니라, 이질적인 Linux 환경 전반에 걸친 대규모 침해 워크플로, 인프라 재활용 및 장기 지속성에서 강력한 운영 규율을 보여주고 있습니다.” – Flare

이 기사 흥미롭다고 생각하십니까? 더 많은 독점 콘텐츠를 보려면 팔로우하세요:

• Google News
• Twitter
• LinkedIn