정용환 기자
미국 FBI와 CISA가 1월 16일 AndroxGh0st라는 악성코드를 이용한 아마존이나 마이크로소프트 클라우드에 대한 공격에 대해 경고하는 공동 성명을 발표했다.
AndroxGh0st는 2022년 12월 클라우드 보안 전문 기업인 레이스워크(Lacework)가 처음으로 존재를 발표한 멀웨어로 PHP 프레임워크(Laravel) 환경 파일에 액세스해 AWS나 마이크로소프트 오피스 365, 센드그리드, 트윌로 등 지명도가 높은 애플리케이션 자격 증명을 훔치는 기능을 갖고 있다.
CISA는 공개된 자격 증명, API 검색과 탈취, 무단 액세스 도구인 웹셸 배포 등 SMTP 악용을 가능하게 하는 다양한 기능도 지원한다고 설명한다. 당국에 따르면 AndroidGh0st를 사용하는 공격자가 침해 당한 웹사이트에 가짜 페이지를 만들고 기밀 정보가 포함된 데이터베이스에 침입하거나 악의적 도구를 채우기 위한 백도어를 만든 사례가 확인되고 있다고 한다.
또 AWS 자격 증명을 훔쳐 새로운 사용자와 정책을 만들려고 했거나 훔친 자격 증명을 사용해 새로운 AWS 인스턴스를 시작하고 다음 대상을 탐지한 것처럼 보인다. AndroidGh0st 위험은 지금까지 경고됐으며 보안 기업인 포티가드랩(FortiGuard Labs)은 2023년 3월 1일 4만 개가 넘는 기기가 Androidx00을 이용해 .env 파일에 공격을 받았다고 관측하고 있다고 발표했다.
FBI와 CISA는 AndroxGh0st에 의한 공격 영향을 줄이는데 중요한 완화 조치를 적용할 걸 권장했다. 먼저 모든 운영체제, 소프트웨어, 펌웨어를 최신 상태로 유지해야 한다. 그 중에서도 아파치 서버 버전이 2.4.49 또는 2.4.50이 아닌지 확인해야 한다. 또 모든 URI 기본 설정이 필요하지 않은 한 모든 요청을 거부하는지 확인한다. 라이브 Laravel 응용 프로그램이 디버깅 또는 테스트 모드가 아닌지 확인한다. 또 .env 파일에서 모든 클라우드 자격 증명을 제거하고 이를 해지한다. 이전에 저장된 클라우드 자격 증명에 대해선 한 번만 삭제할 수 없는 유형 자격 증명에 대해선 지속적으로 .env 파일에 자격 증명이 나열된 플랫폼 또는 서비스를 검토하고 무단 액세스 또는 사용 내역이 있는지 확인한다. 서버 파일 시스템을 스캔하고 그 중에서도 루트 디렉터리나 특정 폴더(/vendor/phpunit/src/Util/PHP) 안에 인식할 수 없는 PHP 파일이 있는지 확인한다. 깃허브 등(pastebin) 파일 호스팅 사이트에 대한 cURL 명령으로 GET 요청, .php 파일에 대한 액세스를 확인한다. 관련 내용은 이곳에서 확인할 수 있다.
이원영 기자
이석원 기자
