에버리(Ebury)라는 멀웨어 봇넷은 지난 2009년 이후 40만 대의 리눅스 서버를 손상시킨 것으로 추정되며, 이 중 10만 대 이상이 2023년 말 현재에도 여전히 침해된 상태다.

이 조사 결과는 보안 기업 이셋에서 발표한 것으로, 이 업체는 금전적 이득을 노리고 서버를 공격하는 멀웨어 공격 중 하나라고 설명했다.

이셋 보안연구원은 “에버리 공격자들은 스팸 확산, 웹 트래픽 리디렉션, 자격 증명 도용, 가상화폐 탈취 등 수익 창출 활동을 추구해 왔다”고 설명했다.

에버리는 10여 년 전 리눅스 서버를 표적으로 삼아 멀웨어를 배포하고 웹 트래픽을 리디렉션하고 스팸을 전송하는 Cdorked 및 Calfbot과 같은 백도어 및 스크립트를 사용했으며 코드명 오퍼레이션 Windigo 캠페인의 일부로 알려졌다.

그 후 2017년 8월, 봇넷 멀웨어 개발과 유지에 관여한 혐의로 러시아 국적의 막심 세나크가 미국에서 4년 가까운 징역형을 선고받았다.

당시 미국 법무부는 “세나크와 그의 공모자들은 다양한 클릭 사기 및 스팸 이메일 사기를 통해 인터넷 트래픽을 생성하고 리디렉션하는데 에버리 봇넷을 사용하여 수백만 달러의 수익을 부당하게 취득했다”고 설명했다.

세나크는 탄원서의 일부로 도메인 등록 기관에 계정을 만들어 에버리 봇넷 인프라 개발을 돕고 에버리 봇넷에서 생성된 트래픽으로 개인적 이익을 얻었다고 인정했다.

이셋 조사 결과, 공격자들은 SSH 자격 증명 도용, 자격 증명 스터핑, 호스팅 제공업체 인프라 침투, 제어 웹 패널의 취약점 악용(예: CVE-2021-45467), SSH 중간자 공격(AitM) 등 다양한 방법을 사용하여 에버리를 전송하는 데 사용한 것으로 밝혀졌다.

또한 위협 행위자들은 자신의 흔적을 감추기 위해 가짜 또는 도용된 신원을 사용하는 것은 물론, 목표를 달성하고 혼동을 주기 위해 다른 공격자들이 멀웨어로 사용하는 인프라를 손상시키기도 했다.

에버리는 미라이 봇넷 제작자의 시스템을 침해하고 코드가 공개되기 훨씬 전에 코드를 훔치는 데 사용된 것으로 알려져 있다.

또 이 멀웨어는 백도어 및 SSH 자격 증명 탈취기로도 작동해 공격자가 HelimodSteal, HelimodProxy, HelimodRedirect와 같은 추가 페이로드를 배포하고 손상된 네트워크 내에서 자신의 존재를 확장할 수 있는 기능을 제공한다. 현재까지 알려진 에버리의 최신 버전은 1.8.2이다.

더불어 헬리모드 스틸, 헬리모드 리디렉트, 헬리모드 프록시는 모두 웹 서버로 전송되는 HTTP POST 요청을 가로채고, HTTP 요청을 광고로 리디렉션하며, 스팸 전송을 위한 트래픽 프록시에 사용되는 HTTP 서버 모듈들이다. 넷필터 후크를 구현하는 커널 모듈인 커널 리디렉션도 사용해 HTTP 트래픽을 수정하여 리디렉션을 수행한다.

그리고 방화벽을 통해 악성 트래픽을 숨기고 허용하는 소프트웨어와 호스팅 제공업체의 데이터 센터 내에서 대규모 AitM 공격을 수행하여 중요한 표적을 침해하고 지갑에서 가상화폐를 훔치기 위한 Perl 스크립트도 사용한다.

헬리모드스틸은 또한 피해자가 온라인 상점에 제출한 신용카드 데이터를 캡처하도록 설계되었으며, 감염된 서버에서 수신한 정보를 추출하는 서버 측 웹 스키머로 효과적으로 사용된다.

Ebury 봇넷 멀웨어는 2009년 등장한 이후 무려 40만 대의 서버를 손상시키며 10년 넘게 리눅스 서버를 지속적으로 위협해 왔다. 이를 막기 위한 노력에도 불구하고 2023년 말 기준 10만 대 이상의 서버가 여전히 감염되었다

에버리의 배후에 있는 운영자는 스팸 유포, 웹 트래픽 리디렉션, 인증 정보 도용 등 다양한 불법 활동에 관여해 왔다. 또한 네트워크 트래픽 도청 및 서버 측 웹 스키밍과 같은 수법을 통해 가상화폐 강탈과 신용카드 도용에 연루되기도 했다.

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★