[KISA] 최근 해킹공격에 악용된 악성코드, IP 등 위협정보 공유 및 주의 2차 안내
안녕하세요. 안랩입니다.
KISA에서 최근 통신사 리눅스 서버를 대상으로 해킹공격에 악용된 악성코드에 대한 위협정보 공유 및 주의를 공지하였습니다.
아래 KISA에서 공지된 악성코드에 대해 안랩 V3에서는 아래의 내용으로 대응하고 있습니다.
KISA 2차 안내 공지 제품 대응 내역
| No | 파일명 | Size | SHA1 | SHA256 | MD5 | 진단정보 |
| 1 | dbus-srv | 34KB | 67a3a1f8338262cd9c948c6e55a22e7d9070ca6c | 925ec4e617adc81d6fcee60876f6b878e0313a11f25526179716a90c3b743173 | 3c54d788de1bf6bd2e7bc7af39270540 | Backdoor/Linux.BPFDoor.34752 (2025.04.24.00) |
| 2 | inode262394 | 28KB | 0f12ab32bac3f4db543f702d58368f20b6f5d324 | 29564c19a15b06dd5be2a73d7543288f5b4e9e6668bbd5e48d3093fb6ddf1fdb | fbe4d008a79f09c2d46b0bcb1ba926b3 | Backdoor/Linux.BPFDoor.XE254 (2025.04.29.02) |
| 3 | dbus-srv | 34KB | 4b6824ed764822dc422384cec89d45bbc682ef09 | be7d952d37812b7482c1d770433a499372fde7254981ce2e8e974a67f6a088b5 | c2415a464ce17d54b01fc91805f68967 | Backdoor/Linux.BPFDoor.34752 (2025.04.24.00) |
| 4 | dbus-srv | 34KB | 213dbb5862a19a423e5b10789a07ee163ab71969 | 027b1fed1b8213b86d8faebf51879ccc9b1afec7176e31354fbac695e8daf416 | aba893ffb1179b2a0530fe4f0daf94da | Backdoor/Linux.BPFDoor.34752 (2025.04.24.00) |
| 5 | dbus-srv | 32KB | 7e7234c5e94a92dd8f43632aca1ac60db7d96d56 | a2ea82b3f5be30916c4a00a7759aa6ec1ae6ddadc4d82b3481640d8f6a325d59 | e2c2f1a1fbd66b4973c0373200130676 | Backdoor/Linux.BPFDoor (2025.05.03.01) |
| 6 | File_in_Inode_#1900667 | 28KB | c2717777ba2cb9a698889fca884eb7650144f32e | e04586672874685b019e9120fcd1509d68af6f9bc513e739575fc73edefd511d | dc3361ce344917da20f1b8cb4ae0b31d | Backdoor/Linux.BPFDoor (2025.05.03.01) |
| 7 | gm | 2,063KB | a778d7ad5a23a177f2d348a0ae4099772c09671e | adfdd11d69f4e971c87ca5b2073682d90118c0b3a3a9f5fbbda872ab1fb335c6 | 5f6f79d276a2d84e74047358be4f7ee1 | Trojan/Linux.BPFControl (2025.05.03.01) |
| 8 | rad | 22KB | b631d5ed10d0b2c7d9c39f43402cccde7f3cb5ea | 7c39f3c3120e35b8ab89181f191f01e2556ca558475a2803cb1f02c05c830423 | 0bcd4f14e7d8a3dc908b5c17183269a4 | Trojan/Linux.BPFControl (2025.05.03.01) |
KISA 1차 안내 공지 제품 대응 내역
| No | 파일명 | Size | MD5 | SHA2 | 진단 정보 |
| 1 | hpasmmld | 2,265KB | a47d96ffe446a431a46a3ea3d1ab4d6e | c7f693f7f85b01a8c0e561bd369845f40bff423b0743c7aa0f4c323d9133b5d4 | Backdoor/Linux.BPFDoor.2318528 (2025.04.24.00) |
| 2 | smartadm | 2,067KB | 227fa46cf2a4517aa1870a011c79eb54 | 3f6f108db37d18519f47c5e4182e5e33cc795564f286ae770aa03372133d15c4 | Backdoor/Linux.BPFDoor.2116536 (2025.04.24.00) |
| 3 | hald-addon-volume | 2,071KB | f4ae0f1204e25a17b2adbbab838097bd | 95fd8a70c4b18a9a669fec6eb82dac0ba6a9236ac42a5ecde270330b66f51595 | Backdoor/Linux.BPFDoor.2120632 (2025.04.24.00) |
| 4 | dbus-srv-bin.txt | 34KB | 714165b06a462c9ed3d145bc56054566 | aa779e83ff5271d3f2d270eaed16751a109eb722fca61465d86317e03bbf49e4 | Backdoor/Linux.BPFDoor.34752 (2025.04.24.00) |
KISA 보호나라 : 최근 해킹공격에 악용된 악성코드 위협정보 공유 및 주의 안내 (2차) > 보안공지 > 알림마당 : KISA 보호나라&KrCERT/CC
대응 방법 : 침해사고 위협 정보를 참고하여 자체적으로 보안점검 후, 침입흔적 및 침해사고가 확인되면 보호나라를 통해 침해사고 즉시 신고
|
최근 해킹공격에 악용된 악성코드 위협정보 공유 및 주의 안내 (2차)
□ 개요 ○ 최근 통신사 침해사고 대응 중 리눅스 시스템을 대상으로 공격 사례가 확인되어 위협정보 공유
□ 침해사고 위협정보
1. 악성코드 해시값 및 파일정보 ○ dbus-srv - size : 34KB - SHA1 : 67a3a1f8338262cd9c948c6e55a22e7d9070ca6c - SHA256 : 925ec4e617adc81d6fcee60876f6b878e0313a11f25526179716a90c3b743173 - MD5 : 3c54d788de1bf6bd2e7bc7af39270540
○ inode262394 - size : 28KB - SHA1 : 0f12ab32bac3f4db543f702d58368f20b6f5d324 - SHA256 : 29564c19a15b06dd5be2a73d7543288f5b4e9e6668bbd5e48d3093fb6ddf1fdb - MD5 : fbe4d008a79f09c2d46b0bcb1ba926b3
○ dbus-srv - size : 34KB - SHA1 : 4b6824ed764822dc422384cec89d45bbc682ef09 - SHA256 : be7d952d37812b7482c1d770433a499372fde7254981ce2e8e974a67f6a088b5 - MD5 : c2415a464ce17d54b01fc91805f68967
○ dbus-srv - size : 34KB - SHA1 : 213dbb5862a19a423e5b10789a07ee163ab71969 - SHA256 : 027b1fed1b8213b86d8faebf51879ccc9b1afec7176e31354fbac695e8daf416 - MD5 : aba893ffb1179b2a0530fe4f0daf94da
○ dbus-srv - size : 32KB - SHA1 : 7e7234c5e94a92dd8f43632aca1ac60db7d96d56 - SHA256 : a2ea82b3f5be30916c4a00a7759aa6ec1ae6ddadc4d82b3481640d8f6a325d59 - MD5 : e2c2f1a1fbd66b4973c0373200130676
○ File_in_Inode_#1900667 - size : 28KB - SHA1 : c2717777ba2cb9a698889fca884eb7650144f32e - SHA256 : e04586672874685b019e9120fcd1509d68af6f9bc513e739575fc73edefd511d - MD5 : dc3361ce344917da20f1b8cb4ae0b31d
○ gm - size : 2,063KB - SHA1 : a778d7ad5a23a177f2d348a0ae4099772c09671e - SHA256 : adfdd11d69f4e971c87ca5b2073682d90118c0b3a3a9f5fbbda872ab1fb335c6 - MD5 : 5f6f79d276a2d84e74047358be4f7ee1
○ rad - size : 22KB - SHA1 : b631d5ed10d0b2c7d9c39f43402cccde7f3cb5ea - SHA256 : 7c39f3c3120e35b8ab89181f191f01e2556ca558475a2803cb1f02c05c830423 - MD5 : 0bcd4f14e7d8a3dc908b5c17183269a4
□ 대응방법 ○ 침해사고 위협 정보를 참고하여 자체적으로 보안점검 후, 침입흔적 및 침해사고가 확인되면 보호나라를 통해 침해사고 즉시 신고
□ 문의사항 ○ 한국인터넷진흥원 사이버민원센터 : 국번없이 118 ○ 침해사고 발생 시 아래 절차를 통해 침해사고 신고 * 보호나라(boho.or.kr) > 침해사고 신고 > 신고하기
□ 작성 : 위협분석단 종합분석팀
|