다단계 감염 체인을 통해 엔드포인트와 IoT 장치를 공격하는 시키테카(Shikitega)라는 새로운 리눅스 악성코드가 발견됐다.
AT&T Alien Labs의 연구팀에 따르면, 이 악성코드는 시스템을 완전히 제어하고 가상자산 채굴 등을 할 수 있게 만든다. 또한 C2 서버에서 다음 단계 페이로드를 다운로드하고 메모리에서 직접 실행할 수 있게 한다.
전문가들은 이 악성코드가 Metasploit의 Mettle 미터프리터를 통해 시스템을 공격한다고 보고했다. 악성코드는 접근 권한을 높이기 위해 보안 취약점을 악용하며, 안티바이러스 엔진의 탐지를 피하기 위해 다형성 인코더를 사용한다.
악성코드의 주요 드로퍼는 작은 ELF 파일이며 실제 코드 크기는 약 370Byte다. 악성코드는 CVE-2021-4034와 CVE-2021-3493 취약점을 악용해 권한을 얻어낸다. 또한 익스플로잇을 통해 루트 권한으로 최종 단계를 다운로드하고 실행한다.
연구팀은 “해커들은 레이더를 피하고 탐지를 피하기 위해 새로운 방식으로 맬웨어를 전달하는 방법을 계속해서 찾고 있다. 시키테카 악성코드는 정교한 방식으로 전달되며 다형성 인코더를 사용하며 각 단계에서 전체 페이로드의 일부만 표시하는 페이로드를 전달한다. 또한 알려진 호스팅 서비스를 악용해 명령 및 제어 서버를 호스팅한다”라고 설명했다.
한편, 시키테카 악성코드는 BPFDoor, Symbiote, Syslogk, OrBit, Lightning Framework 를 포함해 최근 몇 달 동안 발견된 리눅스 멀웨어 목록에 추가됐다.
*이 기사는 글로벌 정보 보안 블로그 ‘시큐리티 어페어즈(Secutiry Affairs)’의 설립자이자 유럽네트워크정보보안기구(ENISA) 소속 보안 전문가 피에루이지 파가니니(Pierluigi Paganini)와의 공식 파트너십을 통해 작성됐습니다.
