지난 1월, Necro가 공개된 후 공격 확산이 중단되었지만 지난 3월 2일부터 BotMon 시스템은 Necro가 다시 확산되고 있음을 감지했다. Honeypot 데이터에 따르면 이전 취약점 TerraMaster RCE(CVE-2020-35665) 및 Zedn RCE(CVE-2021-3007) 외에도 두 가지 새로운 취약점 Laravel RCE(CVE-2021-3129), WebLogic RCE(CVE-2020-14882)가 추가되었다. 데이터에 따라 공격 추이는 아래와 같다.
보안 연구원들은 샘플 분석을 통해 새로운 버전의 Necro가 약 한 달 간 공격이 주춤하다가 큰 변화를 겪고 공격 형식이 다음과 같이 강화되었음을 확인했다.
- rootkit을 사용해 윈도우 플랫폼에서 은닉
- DGA 메커니즘이 업데이트, “하위 도메인 DGA+동적 도메인 이름” 방법을 사용해 C2 도메인 이름 생성
- C2 통신은 토르를 지원, 새로운 토르 기반 DDoS 공격 실시 가능
- 특정 리눇그 대상에 대해 Gafgyt_tor 유포 가능
- 피해자 컴퓨터의 웹서비스 페이지 변조, 사용자 데이터 탈취, 사용자의 브라우저를 봇으로 전환하여 DDoS 공격 수행
한 편, 보안 연구원들은 이달 초 Gafgyt_tor를 공개하고 이것이 Keksec 계열인 Necro와 동일한 그룹에 속한다고 분석했다.
[출처 : Netlab360 / 3.16.]
![[보안뉴스 / 3.20.] 미국의 국가사이버보안전략, 보안 업계의 반응은 어떨까](https://cybersecurity.re.kr/wordpress/wp-content/uploads/2023/03/주석-2023-03-21-105540-500x383.png)
![[보안뉴스 / 3.20.] 얼마 전 공개된 MS 아웃룩 제로데이 취약점, 올해 대표 취약점 될까?](https://cybersecurity.re.kr/wordpress/wp-content/uploads/2023/03/주석-2023-03-21-105140-500x383.png)
댓글을 남겨주세요
로그인 후 댓글을 작성할 수 있습니다.