WP 사이트에서 20개 이상의 CMS 결함을 악용하는 새로운 Linux 악성코드

게시 됨: 2023-02-06

WordPress 테마의 보안 취약점과 Linux 플랫폼에서 실행되는 웹사이트의 플러그인을 이용하는 새로운 Linux 맬웨어가 등장했습니다. Javascript를 실행하여 웹 사이트의 소스 코드를 대상으로 하는 이 악성 코드는 사이버 범죄자가 DDoS 공격을 시작하고 중요한 데이터에 액세스하고 사용자를 악성 웹 사이트로 리디렉션하도록 도울 수 있습니다.

이 기사에서는 이 새로운 Linux 맬웨어에 대한 포괄적인 개요를 제공하고 작동 방식, 악용될 수 있는 CMS 결함 및 이러한 공격을 방지하기 위해 수행할 수 있는 작업에 대해 설명합니다.

Linux 맬웨어 공격이란 무엇입니까?

오늘날의 많은 클라우드 환경은 Linux 운영 체제를 기반으로 합니다. 이 때문에 리눅스를 사용하는 웹호스트를 직접 노리는 사이버 공격이 늘고 있다. Linux 환경에 성공적으로 침투함으로써 사이버 범죄자는 다양한 민감한 데이터에 액세스하고 맬웨어를 실행하며 잠재적으로 IT 인프라에 장기적인 손상을 입힐 수 있습니다.

새로운 Linux 악성코드 발견
Linux 맬웨어 경고

2020년부터 트로이 목마 바이러스와 랜섬웨어는 Linux 기반 맬웨어 공격의 가장 일반적인 형태였습니다.

최신 WordPress CMS 결함과 같은 취약성으로 인해 네트워크가 손상되었습니다. 다른 취약점으로는 네트워크 인증 부족 또는 서버 구성 오류가 있습니다. 불행하게도 이러한 공격은 최근 몇 년 동안 다소 성공적이었으며 점점 더 정교해지고 다양해지고 있어 사이버 보안 팀에 골칫거리가 되고 있습니다.

Linux 맬웨어 공격의 유형

위협 행위자가 맬웨어 공격을 실행할 수 있는 방법에는 여러 가지가 있습니다. 다음은 가장 일반적인 유형 중 일부입니다.

VM 이미지를 대상으로 하는 맬웨어

맬웨어는 지속적으로 개선되고 있으며 숙련된 사이버 범죄자가 의도적으로 공격하는 대상이 되는 새로운 취약점을 발견합니다. 이러한 공격 중 하나는 워크로드를 처리하는 데 사용되는 가상 머신(VM) 이미지를 표적으로 삼는 것입니다.

그렇게 함으로써 위협 활동가는 클라우드에서 호스팅되는 귀중한 리소스에 액세스하여 대혼란을 일으킬 수 있습니다.

크립토재킹

크립토재킹은 피해자의 IT 리소스를 사용하여 암호화폐를 생성하는 사이버 범죄자에게 매우 유리할 수 있습니다. Tesla와 같은 글로벌 기업들도 이러한 공격의 피해자였습니다.

크립토재킹 맬웨어는 고급 보안이 부족한 시스템을 악용하여 해커가 피해자를 희생시키면서 시스템을 하이재킹하고 암호화를 채굴할 수 있도록 합니다.

파일리스 리눅스 공격

Golang이 작성한 오픈 소스 Ezuri 도구를 사용하여 해커는 맬웨어를 암호화하고 침해된 네트워크에서 해독하고 시스템 디스크에 흔적을 남기지 않을 수 있습니다. 이를 통해 맬웨어는 바이러스 백신 소프트웨어를 우회할 수 있습니다.

사이버 범죄 그룹 TeamTNT는 일반적으로 이 기술을 사용합니다. 대규모 조직의 경우 이는 컴플라이언스 규정을 위반하는 극단적인 결과를 초래할 수 있습니다. 이러한 공격으로부터 보호하는 것은 PCI 준수를 보장하고 다른 규제 지침을 준수하는 데 큰 도움이 될 수 있습니다.

PCI 규정 준수 설명
PCI 준수 설명

국가 지원 악성코드

국가 그룹은 Linux 환경에 대한 공격을 증가시키고 있으며 이는 특히 러시아-우크라이나 전쟁에서 분명합니다. 이러한 맬웨어 공격의 주요 목표는 통신을 방해하고 데이터를 파괴하는 것입니다.

WP 웹 사이트가 새로운 Linux 맬웨어의 표적이 되는 방법

이전에 사이버 보안 전문가에게 알려지지 않은 새로운 Linux 맬웨어 변종은 WordPress 웹사이트, 더 정확하게는 20개가 넘는 플러그인과 테마를 표적으로 삼고 있습니다.

러시아 보안 벤더인 Doctor Web은 이 새로운 위협을 분석하여 잠재적인 취약점을 강조했습니다. Doctor Web의 담당자는 최근 보고서에서 “사이트에서 중요한 수정 사항이 없는 오래된 버전의 애드온을 사용하는 경우 대상 웹 페이지에 악성 JavaScript가 주입됩니다. 결과적으로 사용자가 공격받은 페이지의 영역을 클릭하면 다른 사이트로 리디렉션됩니다.”

이 공격은 취약한 플러그인과 테마가 있는 특정 웹사이트를 대상으로 맬웨어를 배포합니다. 이를 통해 사이버 범죄자가 원격으로 액세스할 수 있는 웹 사이트(봇넷) 네트워크를 생성하여 다양한 활동을 수행할 수 있습니다. 자바스크립트는 또한 원격 서버가 검색한 시스템에 삽입되어 침해된 웹사이트에 액세스하는 사용자를 악성 웹사이트로 리디렉션할 수 있습니다.

공격의 또 다른 백도어 버전은 20개 이상의 WordPress CMS 결함을 대상으로 하는 것 외에도 이전에 알려지지 않은 명령 및 제어(C2) 도메인과 관련이 있습니다.

두 경우 모두 공격자는 무차별 대입 방법을 사용하여 WordPress 관리자 계정에 침투합니다. Doctor Web은 "이러한 옵션이 최신 버전의 백도어에 구현되면 사이버 범죄자는 취약점이 패치된 현재 플러그인 버전을 사용하는 일부 웹 사이트를 성공적으로 공격할 수 있습니다."라고 덧붙였습니다.

악용된 20개 이상의 CMS 결함

Linux 맬웨어가 악용한 취약한 테마 및 플러그인 목록은 다음과 같습니다.

  • 블로그 디자이너(< 1.8.12)
  • 브리지
  • 출시 예정 및 유지 관리 모드(<= 5.1.0)
  • 검색엔진 최적화
  • 쉬운 WP SMTP(1.3.9)
  • FV Flowplayer 비디오 플레이어
  • 잡종
  • Zotabox의 메신저 고객 채팅과 라이브 채팅(< 1.4.9)
  • ND 단축 코드(<= 5.8)
  • 신문(CVE-2016-10972, 6.4 – 6.7.1)
  • 원톤
  • OpinionStage의 설문 조사, 설문 조사, 양식 및 퀴즈 작성기
  • 사용자 지정 템플릿 게시 라이트(< 1.7)
  • 풍부한 리뷰
  • 단순 필드
  • 스마트 Google 코드 삽입기(2022년 1월 28일부로 중단됨, < 3.5)
  • 소셜 지표 추적기
  • 팀 코어
  • 총 기부금(<= 2.0.5)
  • 우커머스
  • WordPress Ultimate FAQ(CVE-2019-17232 및 CVE-2019-17233, 1.24.2)
  • WPeMatico RSS 피드 가져오기 프로그램 및
  • WP GDPR 준수(1.4.2)
  • WP 라이브 채팅(8.0.27)
  • WP 라이브 채팅 지원
  • WP-마토모 통합(WP-Piwik)
  • WP 빠른 예약 관리자
  • 노란색 연필 비주얼 CSS 스타일 편집기(< 7.2.0)
  • 유조 관련 게시물(5.12.89)

이전 WordPress 맬웨어 공격

위협 인텔리전스 및 연구 기관인 Fortinet FortiGuard Labs는 GoTrim으로 알려진 또 다른 봇넷(인터넷 연결 장치 위반 그룹)을 공개했습니다. 이 네트워크는 WordPress CMS를 사용하는 자체 호스팅 웹 사이트에서 무차별 대입 기술을 사용하여 생성되어 시스템을 완전히 제어할 수 있습니다.

GoDaddy 소유의 웹사이트 보안 및 보호 플랫폼인 Sucuri는 2022년 말에 15,000개 이상의 침해된 WordPress 웹사이트를 식별했습니다. 이는 웹사이트 방문자를 사이버 범죄자가 통제하는 Q&A 포털로 리디렉션하는 것을 목표로 하는 전체 맬웨어 캠페인의 일부였습니다. 2023년 1월 현재 이러한 웹사이트 중 9,000개 이상이 여전히 감염되었습니다.

2022년 여름, Sucuri는 JavaScript 기반 맬웨어를 사용하여 WordPress 웹사이트를 대상으로 하는 "Parrot"이라는 트래픽 방향 시스템(TDS)을 자세히 설명하는 보고서도 발표했습니다.

Linux 맬웨어 공격을 방지하는 방법

이러한 공격을 방지하기 위해 모든 WordPress 사용자는 타사 플러그인 및 테마를 포함하여 웹 사이트의 모든 구성 요소를 업데이트하는 것이 좋습니다. 모범 사례로서 사용자는 보안을 강화하기 위해 각 사용자에 대해 강력한 암호와 고유한 로그인 정보를 사용해야 합니다.

또한 웹 사이트 소유자는 데이터를 정기적으로 백업하여 랜섬웨어 공격의 피해자가 될 가능성을 줄이고 정기적으로 업데이트되는 프리미엄 보안 플러그인을 설치하는 것이 좋습니다.

마무리

새로 식별된 이 공격은 Linux 환경에서 호스팅되는 20개 이상의 WordPress 플러그인 및 테마를 대상으로 하여 사이버 범죄자가 맬웨어를 실행할 수 있도록 합니다. 이러한 공격 중 다수는 웹사이트 방문자를 가짜 웹사이트로 리디렉션하는 것과 관련이 있으며, 다른 공격은 해커가 다양한 범죄에 사용될 수 있는 봇넷을 개발하도록 돕습니다.

WordPress 사용자는 모든 플러그인과 테마를 최신 상태로 유지하고 강력한 로그인 자격 증명을 사용하여 이러한 공격을 방지할 수 있습니다. 맬웨어 공격의 피해를 입은 대부분의 웹 사이트는 제대로 유지 관리되지 않고 최소한의 보안만 설치되어 있으며 취약한 암호를 사용합니다.