[보안뉴스]리눅스의 eBPF 기능 악용하는 고급 전략 채용한 공격자들, 동남아 기업들

리눅스 생테계에서 사용되는 eBPF에서의 사이버 공격 캠페인 발생.

해당 eBPF를 악용해 악성 활동과 프로세스를 은폐,기밀 수집, 방화벽 보안 회피가 가능함

 

악성 단체가 해당 eBPF를 활용한 방법

 1) eBPF 룻키트 : 두 번째 룻키트를 숨기는 역할을 담당한다.
 2) 두 번째 룻키트 : 커널 모듈로서 작동하며, 원격 접근 트로이목마(RAT)를 설치하기 위한 준비 작업을 실행한다. 다양한   트래픽 터널링 기술을 내포하고 있으며, 이 덕분에 피해자의 시스템 내에서 공격자와 오랜 시간 통신 가능

또한 이를 정상 트래픽으로 숨기기 위해 깃허브 혹은 중국 보안 관련 블로그에 멀웨어의 설정 내용을 저장했다.

이를 통해 경보의 가능성을 낮춤.

 

3줄 요약
1. 리눅스의 네트워킹 기술인 eBPF를 악용하는 캠페인이 발견됨.
2. 공개된 플랫폼을 공격 인프라에 포함시키기도 함.
3. 공격 초기에 사용했던 도구를 후반부에 재활용하는 모습도 선보임.

 

 

 

eBPF는 높은 권한을 가지는 시스템 저층위에서 발동되는 기능을 광범위하게 제공하는 것