새로운 ‘보이드링크’ 멀웨어 프레임워크 출현... 리눅스 클라우드 인프라 정조준 작성일 01-15 41 목록 <div id="layerTranslateNotice" style="display:none;"></div> <div class="article_view" data-translation-body="true" data-tiara-layer="article_body" data-tiara-action-name="본문이미지확대_클릭"> <section dmcf-sid="fPWT5UtWEj"> <p contents-hash="b24db3bebb9f9489a9283832184c35c1eadbe3640cda4a08bf3412dc2fb196ee" dmcf-pid="4QYy1uFYDN" dmcf-ptype="general"><strong>중국어권 개발자들이 개발·관리하고 있는 것으로 추정<br>기술적 완성도 수준 매우 높아...지능적인 회피 기법 구사</strong></p> <p contents-hash="e85134b1c3d9f9b59f3629267e928245900b6085f6d6732cfb08a889241b2eb4" dmcf-pid="8xGWt73GIa" dmcf-ptype="general">[보안뉴스 김형근 기자] 클라우드 네이티브 리눅스 환경을 겨냥한 고도로 진화된 맬웨어 프레임워크인 ‘보이드링크’(VoidLink)가 새롭게 발견됐다. Zig, Go, C언어로 작성된 이 프레임워크는 방대한 문서와 활발한 개발 흔적으로 미뤄 상업적 목적으로 제작된 것으로 추정된다.</p> <figure class="figure_frm origin_fig" contents-hash="9443a85bc9b75b805091b7fa26045d809b12ae72609fa4b94f5269b582ab2d3b" dmcf-pid="6zrDhYSrEg" dmcf-ptype="figure"> <p class="link_figure"><img class="thumb_g_article" data-org-src="https://t1.daumcdn.net/news/202601/15/552815-KkymUii/20260115153126087jnvo.jpg" data-org-width="900" dmcf-mid="VJ5Xpbu5mA" dmcf-mtype="image" height="auto" src="https://img1.daumcdn.net/thumb/R658x0.q70/?fname=https://t1.daumcdn.net/news/202601/15/552815-KkymUii/20260115153126087jnvo.jpg" width="658"></p> </figure> <div contents-hash="7c0bc8df48ae301e70d26c3aab2191506a86dc12a9c54f86e6b258181131e675" dmcf-pid="PqmwlGvmEo" dmcf-ptype="general"> <div> <p>[출처: gettyimagesbank]</p> </div> <br>보안업체 체크포인트(Check Point)는 이 멀웨어가 쿠버네티스(Kubernetes)나 도커(Docker) 환경에서 실행 중인지 여부를 스스로 판단하고, 이에 따라 동작 방식을 조정한다고 분석했다. 인터페이스 언어 구성과 최적화 특성 등을 종합할 때 중국어권 개발자들에 의해 개발·관리되고 있는 것으로 보이며, 기술적 완성도 또한 매우 높은 수준이라는 평가다. </div> <p contents-hash="ef1a7dd0452c47d9ed5282ad383f7375c371746ec833f3a7796ce2dad2032826" dmcf-pid="QBsrSHTsDL" dmcf-ptype="general">보이드링크는 침투 이후 AWS, GCP, 애저, 알리바바, 텐센트 등 주요 클라우드 제공업체의 메타데이터를 조회해 실핸 환경을 정밀하게 파악한다. 시스템 커널 버전, 프로세스, 네트워크 상태를 수집할 뿐만 아니라 설치된 보안 솔루션(EDR)에 따라 리스크 점수를 산출한다. 이 리스크 점수에 따라 포트 스캔 속도나 비컨 전송 간격을 자동으로 조절하는 등 지능적인 회피 기법을 구사한다.</p> <p contents-hash="e1db02707722bc75ac27dbc991ee3bd984b8f43504f24952edfbd5f845d8dd57" dmcf-pid="xbOmvXyOrn" dmcf-ptype="general">또한 ‘보이드스트림’(VoidStream)이라는 맞춤형 암호화 계층을 사용해 통신 트래픽을 일반적인 API 활동처럼 위장한다. 기본 설정만으로도 35개의 플러그인을 포함하고 있으며, 이는 메모리에 직접 로드돼 흔적을 남기지 않는 방식으로 작동한다.</p> <p contents-hash="2aff6234d28108a05598d688f23f51183fd2455542ddeda8e853873e6044abb0" dmcf-pid="yr2KPJx2ri" dmcf-ptype="general">주요 기능으로는 시스템 정찰, 클라우드 권한 상승, SSH 키 및 API 토큰 탈취, 측면 이동 등이 있다. 추적을 피하기 위해 프로세스와 파일을 은닉하는 루트킷 모듈을 탑재했으며, 커널 버전에 따라 eBPF 기술까지 활용한다. 또한 실행 환경 내 디버거를 감지하거나 실행 중인 코드를 암호화하는 등 안티 분석 메커니즘도 매우 정교하다. </p> <p contents-hash="dec2df365eb4d9de067e85bdcb85fc5fb886c22fc5c39add43cc484f1536a68d" dmcf-pid="WmV9QiMVwJ" dmcf-ptype="general">분석이나 변조가 감지되면 맬웨어 스스로를 자가 삭제하고, 로그와 쉘 히스토리를 깨끗이 지운다. 호스트에 생성된 모든 파일은 보안 삭제 방식으로 처리돼 포렌식 조사를 원천적으로 방해한다. </p> <p contents-hash="9373720eb66d93cd490996a8e9d6655b3540ee560622b0422068ebc74e2293f2" dmcf-pid="Ysf2xnRfOd" dmcf-ptype="general">체크포인트 연구원들은 보이드링크가 전형적인 리눅스 맬웨어보다 훨씬 앞선 기술력을 가졌다고 평가했다. 모듈식 아키텍처와 방대한 기능은 이 프레임워크가 현대적인 클라우드 인프라를 장기적으로 장악하기 위한 목적으로 설계됐음을 시사한다. 현재까지 활발한 감염 사례는 확인되지 않았으나, 특정 고객을 위한 맞춤형 제작물 또는 판매용 제품일 가능성이 제기되고 있다. </p> <p contents-hash="206d1f2b8ec1ffc9cb572214bfc701b7a7552d0a53fc6c9f135a9a47d267df1d" dmcf-pid="GO4VMLe4Ee" dmcf-ptype="general">이번 발견은 클라우드 보안 환경에서 자동화된 회피 기술이 얼마나 결정적인 위협이 될 수 있는지 보여주는 사례다.</p> </section> </div> <p class="" data-translation="true">Copyright © 보안뉴스. 무단전재 및 재배포 금지.</p> 관련자료 이전 사기 피해만 580억원…MS, 사이버범죄 플랫폼 '레드VDS' 차단 01-15 다음 [명조] 모니에 "차세대 파수인이라 해도 손색없네" 01-15 댓글 0 등록된 댓글이 없습니다. 로그인한 회원만 댓글 등록이 가능합니다.
