0xNews - 리눅스와 윈도우 Redis 서버를 대상으로 하는 새로운 웜을 이용한 공격 캠페인 발견

Palo Alto Networks Unit42 발표

취약한 Redis 인스턴스를 대상으로 하는 새로운 클라우드 대상 P2P Peer to Peer 웜 발견

P2PInfect 로 명명

리눅스와 윈도우 운영체제에서 실행되는 Redis 서버를 악용

다른 웜 Worm 보다 확장 가능이 매우 빠르고 강력함

클라우드 친화적인 프로그래밍 언어인 Rust 기반 개발과 작성

최대 900여개 고유한 Redis 시스템이 위협에 취약할 수 있는 것으로 추정

P2PInfect가 첫번째 공격은 2023년 7월 11일 공격 확인

이전에는 Muhstik, Redigo 와 같은 여러 악성코드군을 전달하는데 악용된 치명적인 Lua 샌드박스 탈출 취약점을 악용

CVE-2022-0543 지정

CVSS 10.0

Redigo와 HeadCrab 은 Redis 의 'Primary/Secondary' 모듈 동기화 공격과 관련이 있는 것으로 판단

이런 기술은 공격자가 손상된 인스턴스를 제어할 수 있도록 손상된 Redis 인스턴스가 기본 인스턴스에서 보조 인스턴스로 이동될 때 사용

P2PInfect 공격은 Lua 샌드박스 탈출과 직접 연결

공격자는 Lua 라이브러리를 활용하여 손상된 호스트에서 실행될 RCE스크립트를 추가

이는 Muhstik 익스플로잇과 더 밀접하게 관련이 있음

최초 접속을 통해 성공적으로 공격에 성공 후 대규모 P2P 네트워크에 대한 P2P 통신을 설정

다른 곳에 노출된 Redis 서버에 악성코드를 전파하기 위한 스캔용 소프트웨어를 포함하여 추가 악성 바이너리를 가져오는 드롭퍼 페이러도를 전달하는데 활용

감염된 인스턴스는 P2P 네트워크에 합류

향후 손상된 Redis 인스턴스에 다른 페이로드에 대한 접속 정보 제공

또한 PowerShell 스크립트를 사용

손상된 호스트와 P2P 네트워크 간의 통신을 설정하고 유지

공격자에게 지속적인 접속 정보와 환경 제공

P2PInfect의 윈도우 버전은 모니터 구성 요소를 통합하여 자체 업데이트하면서 신규 버전으로 시작

Redis 는 가장 인기있는 인메모리 데이터베이스 중 하나이기 때문에 공격자가 노리는 수많은 대상 중 하나

이전 Debian Linux 의 특정 버전이 오픈소스 Redis용 Lua 엔진을 패키징하는 방법에 의해 생성된 취약점인 CVE-2022-0543 을 이용하기 위해 생성된 다른 맬웨어를 확인

Redis Enterprise 소프트웨어는 이 취약점에 영향을 받지 않은 Lua 모듈의 강화된 버전으로 번들 제공

이에 Redis Enterprise 라이선스 소프트웨어를 실행하는 사용자는 CVE-2022-0543 이나 P2PInfect 공격 대상에서 제외

오픈소스 Redis 사용자는 Redis.io 에서 직접 제공되는 공식 배포판을 사용하는 것을 권고

이번 공격 캠페인은 툴킷의 소스 코드에 광부 miner 라는 단어가 포함되어 있는 것을 확인

하지만 크립토재킹 cryptojacking 과 같은 결정적인 증거에 대해 확인하지는 못함

공격자는 정교한 공격을 수행하기 위해 지속적으로 인터넷 스캔

잘못 구성되고 취약한 클라우드 자산이 몇 분안에 발견되고 이에 대한 공격 도구 개발이 가능

Orca 의 보안 리포트 정보 링크

openLab