국내 리눅스 시스템 공격에 사용되고 있는 Rekoobe 백도어 분석 - ASEC BLOG 관련 IOC 12개 발견
Rekoobe는 리눅스 환경을 대상으로 하는 백도어 악성코드로, 2015년에 최초로 확인되었고, APT31 공격 그룹이 사용하고 있다. AhnLab Security Emergency response Center(ASEC)에서는 국내 고객사들로부터 Rekoobe 악성코드가 꾸준하게 접수되고 있으며, 다양한 변종들을 분류하고 공격에 사용된 Rekoobe 악성코드들을 함께 정리하고 있다. 깃허브에 공개된 오픈 소스인 Tiny SHell의 소스 코드를 기반으로 제작된 Rekoobe은 C&C 서버의 명령을 받아 다운로드, 업로드 그리고 명령 실행 3가지 기능을 지원한다.
Rekoobe는 중국의 APT31 공격 그룹이 사용하고 있는 백도어 악성코드로 2015년에 최초로 확인되었다. AhnLab Security Emergency response Center(ASEC)에서는 국내 고객사들로부터 Rekoobe 악성코드가 꾸준하게 접수되고 있으며, 다양한 변종들과 공격에 사용된 Rekoobe 악성코드들을 분류하고 정리하고 있다. 깃허브에 공개된 오픈 소스인 Tiny SHell의 소스 코드를 기반으로 제작된 Rekoobe은 다운로드, 업로드 및 명령 실행 기능을 지원한다.
Ahnlab
Rekoobe backdoor analysis used for domestic Linux system attacks -asec blog
Rekoobe is a backdoor malware targeting the Linux environment. It was first identified in 2015 and is used by the APT31 attack group.Ahnlab Security Emergency Response Center (ASEC) has been receiving rekoobe malicious code from domestic customers, and classifies various variants and organizes the REKOOBE malware used for attacks.Rekoobe, based on the source code of Tiny Shell, an open source released on GitHub, supports three functions: download, upload and command execution with the command of the C & C server.
Rekoobe is the first backdoor malware used by China’s APT31 attack group and was first confirmed in 2015.Ahnlab Security Emergency Response Center (ASEC) has been receiving rekoobe malicious code from domestic customers, and classifies and organizes REKOOBE malware used in various variants and attacks.Rekoobe, based on the source code of Tiny Shell, an open source released on GitHub, supports downloads, uploads and command executions.
https://asec.ahnlab.com/ko/55070/