마이크로소프트(MS)가 Sysrv-K 봇넷이 스프링 프레임워크(Spring Framework) 및 워드프레스(WordPress)의 보안 취약점을 통해 윈도우와 리눅스 서버의 해킹을 시도하고 있다고 경고했다.
해커는 윈도우와 리눅스 서버를 대상으로 하는 크립토마이닝 캠페인에서 봇넷을 사용하고 있는 것으로 알려졌다.
MS에 따르면, Sysrv-K 봇넷은 취약한 웹 서버를 인수하기 위해 익스플로잇(취약점 공격)을 활용하며, 멀웨어는 Spring Cloud Gateway 라이브러리에 있는 CVE-2022-22947로 추적되는 코드 주입 취약점을 비롯한 다양한 보안 취약점을 목표로 하고 있다.
봇넷은 취약 시스템에 조작된 요청을 보내 임의 코드 실행을 얻을 수 있으며, 워드프레스의 구성 파일 및 해당 백업에 대한 스캔 기능을 통해 데이터베이스의 자격 증명을 포함한 민감한 데이터에도 접근할 수 있다.
MS는 트윗에 게시한 보안 권고를 통해 "이전 변종(Sysrv)과 마찬가지로 Sysrv-K는 ▲SSH 키 ▲IP 주소 ▲호스트 이름을 검색한 다음, SSH를 통해 네트워크의 다른 시스템에 연결하여 자체 복사본을 배포하려고 시도하고 있다”라고 설명했다.
Sysrv 봇넷은 최소 2020년 말부터 활동했지만, 그 활동이 감지된 것은 2021년 4월이다. 이 봇넷은 텔레그램 사용 기능을 포함해 새로운 통신 기능 지원과 함께 취약한 서버에 해킹 프로그램을 설치하도록 설계된 것으로 알려진다.
*이 기사는 글로벌 정보보안 블로그 ‘시큐리티 어페어즈(Secutiry Affairs)’의 설립자이자 유럽네트워크정보보안기구(ENISA) 소속 보안 전문가 피에루이지 파가니니(Pierluigi Paganini)와의 공식 파트너십을 통해 작성됐습니다.
