미국 연방수사국(FBI)과 사이버보안 및 인프라 보안국(CISA)은 공동 발표를 통해 클라우드 인증정보 탈취를 노리는 강력한 멀웨어인 Androxgh0st 악성 봇넷에 대해 긴급 경보를 발령했다. AWS, SendGrid, 마이크로소프트 애저 및 오피스 365와 같은 주요 플랫폼을 타깃으로 하고 있기 때문에 각별히 주의해야 한다.

2022년에 발견된 Androxgh0st는 정교한 파이선 스크립트 멀웨어다. 특히, 1년 전에는 4만대 이상의 디바이스를 제어할 수 있었으나, 최근 데이터에 따르면 감염된 디바이스는 약 9천300대로 감소한 것으로 나타났다. 이 멀웨어는 웹 프레임워크와 서버의 취약점을 악용하며, 특히 중요한 클라우드 자격 증명이 포함된 .env 파일을 표적으로 삼는다.

Androxgh0st는 알려진 취약점이 있는 웹사이트와 서버를 스캔해 CVE-2017-9841(PHPUnit), CVE-2021-41773(Apache HTTP 서버), CVE-2018-15133(Laravel PHP 웹 프레임워크)과 같은 원격 코드 실행(RCE) 익스플로잇을 활용한다. 이 공격의 주요 초점은 .env 파일에서 민감한 정보를 추출해 유명 애플리케이션의 자격 증명을 손상시키는 것이다.

도난당한 인증정보는 AWS, 마이크로소프트 오피스 365, SendGrid, Twilio의 인증정보를 포함해 위협 공격자의 게이트웨이 역할을 한다. 이러한 악의적인 공격자들은 유출된 기업을 사칭해 합법적인 것처럼 보이게 하는 스팸 캠페인에 자격 증명을 사용할 수 있다.

Androxgh0st는 인증정보 도용에서 멈추지 않는다. 유출된 AWS 인증 정보를 활용해 새로운 사용자와 인스턴스를 생성, 자체 복제하고 도달 범위를 확장할 수 있다. 이를 통해 멀웨어는 인터넷에서 추가로 취약한 대상을 검색할 수 있다.

이 심각한 위협에 대응하기 위해 FBI와 CISA는 네트워크 방어자와 서비스 제공업체를 해 다음과 같은 완화 조치를 권고하고 있다.

△시스템을 최신 상태로 유지.

△운영 체제, 소프트웨어, 펌웨어를 정기적으로 업데이트. 특히, 아파치 서버가 2.4.49 또는 2.4.50 버전을 실행하고 있지 않은지 확인 필요.

△명시적으로 필요한 경우를 제외하고 모든 요청을 거부하도록 모든 URI에 대한 기본 구성 확인 필요.

△라이브 Laravel 애플리케이션이 '디버그' 또는 테스트 모드에 있지 않은지 확인필요.

△.env 파일에서 클라우드 자격 증명을 제거하고 해지할 것.

△저장된 클라우드 자격 증명을 정기적으로 검토해 무단 액세스 또는 사용이 있는지 확인할 것.

△서버의 파일 시스템, 특히 중요한 디렉터리에서 인식할 수 없는 PHP 파일이 있는지 스캔할 것.

△발신 GET 요청, 특히 깃허브와 같은 호스팅 사이트의 .php 파일에 액세스하는 요청을 면밀히 조사할 것.

Androxgh0st의 급속한 확산은 조직에서 패치 관리가 제대로 이루어지지 않고 오래된 소프트웨어를 실행하는 서버가 널리 퍼져 있기 때문이다.

특히 가상화폐 산업은 더 큰 위험에 직면해 있다. 공격자들은 디지털 자산을 표적으로 삼을 뿐만 아니라 SendGrid 및 Twilio와 같은 서비스에서 개인 식별 정보(PII)도 수집한다. 이 정보는 신원 도용이나 정교한 피싱 공격에 사용된다.

특히 Androxgh0st 봇넷은 클라우드 보안에 심각한 위협을 가할 것으로 보인다. 각별히 주의해야 한다.

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★