Koske 악성코드 탐지: AI로 생성된 새로운 리눅스 위협
목차:
공격자들은 점점 더 AI를 활용하여 핵심 비즈니스 자산을 손상시키고 있으며, 이는 위협 환경에서 위험한 진화를 나타냅니다. Check Point Research의 AI Security Report 2025는 위협 행위자들이 AI를 사용하여 딥페이크 사칭, 자동화된 악성코드 생성, 탈옥된 LLM 및 생성형 허위 정보 캠페인을 수행하고 있음을 보여줍니다. CyberLock, Lucky_Gh0$t, Numero 악성코드를 유포하기 위한 AI 미끼 캠페인 이후, 사이버보안 전문가들은 AI 기반의 새로운 위협을 확인했습니다. Koske라 불리는 이 정교한 악성코드는 개발 단계에서 인공지능의 도움을 크게 받은 것으로 보이며, 현대 사이버 공격에서 AI의 무기화가 가속화되고 있음을 보여줍니다.
Koske 악성코드 공격 탐지
Netacea 연구에 따르면, 93%의 기업이 향후 1년 내에 매일 AI 기반 공격에 직면할 것으로 예상합니다. 또한 Splunk State of Security 2025 Report는 발표에서 보안 리더들이 생성형 AI가 공격자의 기존 공격 효과를 높이고(32%), 공격량을 증가시키며(28%), 완전히 새로운 공격 방법을 창출하고(23%), 정찰 활동을 수행(17%)하는 데 사용되고 있다고 보고했습니다. 이러한 결과는 공격 도구로서 AI의 잠재적 위협이 증가하고 있음을 보여주며, Koske와 같은 악성 변종의 출현 가능성이 높습니다.
SOC Prime 플랫폼에 등록하여 AI의 방어 능력을 활용하고 Koske 악성코드 공격을 초기 단계에서 탐지하십시오. 이 플랫폼은 최신 위협 인텔리전스와 실행 가능한 탐지 콘텐츠를 제공하며, AI 기반 탐지 엔지니어링, 자동화된 위협 헌팅 및 고급 위협 탐지를 지원하는 완전한 제품군으로 지원됩니다. 아래의 탐지 살펴보기 버튼을 클릭하여 Koske 악성코드 활동을 식별하고 대응하도록 설계된 탐지 규칙에 액세스하거나 Threat Detection Marketplace에서 “Koske” 태그를 사용하십시오.
모든 탐지 규칙은 다양한 SIEM, EDR 및 Data Lake 솔루션과 호환되며, MITRE ATT&CK® 프레임워크에 매핑되어 있습니다. 또한 각 규칙에는 위협 인텔 참조, 공격 타임라인, 분석 권장 사항 등 자세한 메타데이터가 포함되어 있습니다.
또한 보안 전문가들은 Uncoder AI를 사용하여 위협 조사를 간소화할 수 있습니다. 이는 탐지 엔지니어링을 위한 개인 IDE 및 AI 기반 코파일럿으로, 원시 위협 보고서에서 탐지 알고리즘을 생성하고, 빠른 IOC 검색을 실행하며, ATT&CK 태그를 예측하고, AI 팁으로 쿼리 코드를 최적화하며, 여러 SIEM, EDR 및 Data Lake 언어로 변환할 수 있습니다. 예를 들어 보안 팀은 Aqua Nautilus 연구 세부 정보를 활용하여 업데이트된 Uncoder AI 기능으로 RAG 기반 MITRE ATT&CK® v17.1을 활용한 Attack Flow v3를 생성할 수 있습니다.
Koske Linux 악성코드 분석
AI는 공격자가 전술을 정교화하고 대규모로 확장할 수 있도록 하면서 새로운 사이버 위협의 시대를 열고 있습니다. 동시에 AI는 현대 방어 전략의 핵심 요소로 자리 잡고 있습니다. 사이버보안의 미래는 AI가 다른 신흥 기술과 얼마나 효과적으로 통합되는지에 달려 있습니다. 그러나 위협 행위자들은 계속해서 혁신하여 AI를 악용할 새로운 방법을 찾고 있습니다.
Aqua Nautilus 연구원은 최근 정교한 탐지 회피 기술을 사용하는 고급 Linux 위협을 발견했으며, 이는 우려스러운 진화를 나타냅니다. Koske는 암호화폐 채굴 작업을 위해 설계된 새로운 AI 생성 Linux 악성코드입니다. 특히 적응형 기능은 LLM 또는 자동화 프레임워크를 사용하여 개발되었음을 시사합니다. Koske는 CPU 및 GPU 최적화 채굴기를 설치하여 감염된 시스템에서 18개 이상의 다양한 코인을 채굴합니다. 모듈식 페이로드, 은밀한 루트킷 및 무기화된 이미지 파일을 통한 배포를 특징으로 하는 Koske는 지속적이고 고도로 적응적인 새로운 유형의 악성코드를 대표합니다. 연구원들은 이 악성코드가 잘못 구성된 JupyterLab 환경을 통해 전달되는 것을 관찰했습니다.
감염 체인은 잘못 구성된 JupyterLab 서버를 악용하여 공격자가 백도어를 설치하고 단축 URL을 통해 두 개의 JPEG 이미지를 다운로드하는 것에서 시작됩니다. 이들은 끝에 악성 페이로드가 추가된 폴리글롯 파일이며, 메모리에서 직접 실행되어 안티바이러스 탐지를 우회합니다. 하나의 페이로드는 루트킷으로 컴파일된 C 코드이고, 다른 하나는 시스템 유틸리티를 사용하여 은밀하게 실행되며 지속성을 유지하는 셸 스크립트입니다.
초기 액세스는 세르비아 IP(178.220.112.53)에서 발생합니다. 내부에 침투한 후 공격자는 .bashrc 및 .bash_logout 수정, /etc/rc.local과 사용자 지정 systemd 서비스 조작, 크론 작업 예약 등 AI 기반 회피 및 지속성 기술을 사용합니다. 페이로드는 합법적인 플랫폼에 호스팅된 이중 용도 이미지에 숨겨져 있으며, 판다곰 JPEG를 미끼로 사용해 악성 셸코드를 이미지 데이터에 추가하여 탐지를 극도로 어렵게 만듭니다.
판다곰 이미지에서 추출된 보조 페이로드는 LD_PRELOAD 메커니즘을 사용하여 readdir() 함수를 하이재킹하는 사용자 영역 루트킷의 원시 C 코드를 포함합니다. 이 루트킷은 특정 이름을 기준으로 항목을 필터링하여 파일, 디렉터리 및 프로세스를 숨깁니다. /dev/shm/.hiddenpid에 저장된 PID를 사용하며, ls, ps, top 등의 도구에서 디렉터리 목록을 가로채 악성 구성 요소를 보이지 않게 만듭니다. LD_PRELOAD 또는 /etc/ld.so.preload를 통해 로드되면 은밀한 지속성을 보장하고 포렌식 탐지를 회피합니다.
Koske는 네트워크 설정을 적극적으로 조작하여 프록시 변수를 재설정하고 iptables 규칙을 플러시하며 Cloudflare/Google DNS를 강제로 설정하고 chattr +i로 변경 사항을 잠가 C2 통신을 유지하고 DNS 방어를 우회합니다. 이 악성코드는 18개의 암호화폐를 지원하며, 하드웨어 감지를 기반으로 CPU/GPU 최적화 채굴기를 배포하고 풀 또는 코인이 실패하면 자동으로 전환합니다.
스크립트의 장황한 주석, 모듈형 로직 및 세르비아어 기반 문법 난독화는 LLM 지원 개발을 나타내며, 분석과 추적을 방해하기 위해 의도적으로 일반적으로 보이도록 설계되었습니다. Koske 대응을 위해 보안 팀은 무단 bash 수정, DNS 재작성, 새로운 systemd 서비스 및 비정상적인 GPU/CPU 사용을 모니터링해야 합니다. 또한 컨테이너 보호를 구현하여 폴리글롯 페이로드를 차단하고, 루트킷 주입을 방지하며, 네트워크 보안을 강화하는 것이 필요합니다. 마지막으로 LLM 특성을 가진 스크립트를 식별하기 위해 AI 기반 이상 탐지를 적용해야 합니다.
Koske는 자동화되고 은밀하며 지속적이고 AI로 강화된 위협으로, 악성코드 진화에서 경고 신호입니다. 이 가속화되는 사이버 전쟁에서 앞서 나가기 위해 조직은 현대 Linux 환경을 보호하기 위해 행동 및 컨텍스트 기반 보안 조치를 채택해야 합니다. SOC Prime은 AI 전문 지식, 자동화, 실시간 위협 인텔리전스 및 고급 기능을 결합한 완전한 제품군을 제공하여 조직이 정교한 사이버 공격에 선제적으로 대응할 수 있도록 지원합니다.
