2024-03-19 16:30 (화)
IoT 봇넷인 'Mirai'와 'Gafgyt' 신규 변종 등장... DoS 리소스 보충위해 기업 노려
상태바
IoT 봇넷인 'Mirai'와 'Gafgyt' 신규 변종 등장... DoS 리소스 보충위해 기업 노려
  • 길민권 기자
  • 승인 2018.09.14 15:28
이 기사를 공유합니다

Mirai와 Gafgyt의 배후에 동일한 개발자가 있는 것으로 추정할 수 있어

cisco-1.jpg
IoT 봇넷으로 유명한 Mirai와 Gafgyt의 새로운 변종이 분산형 공격을 위한 DoS 리소스를 추가 보충하기 위해 기업들을 노리고 있는 것으로 나타났다.

양쪽 악성코드들 모두 몇 년 전 공개 되어 사이버 범죄자들이 그들만의 버전을 만들기 시작했다. 이 최신 변종은 비즈니스용 기기를 노리는 것으로 확인되었다.

팔로알토네트웍스 유닛 42에서 공개한 보고서에서는 새로운 Mirai와 Gafgyt가 오래 된 취약점을 악용하는 코드를 추가했다고 밝혔다.

Mirai는 패치 되지 않은 아파치 스트럿츠(Apache Struts)를 사용하는 시스템을 노리기 시작했습니다. 이 버전은 지난해 Equifax 유출사건 때 공격 당한 버전이다.

CVE-2017-5638는 수정 된지 1년 이상 지났지만, 취약점이 완전히 패치 되지 않을 경우 공격이 먹히는 기기가 존재할 것이기 때문에, 사이버 범죄자들은 이를 악용할 것이다.

Mirai 악성코드가 사용하는 익스플로잇의 수는 이제 16개다. 대부분 라우터, NVR, 카메라, DVR 등 인터넷에 연결 된 기기들을 노리고 있다.

Baslite로도 알려진 Gafgyt도 비즈니스용 장비를 노리고 있다. 이는 SonicWall의 지원 되지 않는 버전의 GMS기기에 존재하는 얼마 전 공개 된 취약점 (CVE-2018-9866)을 사용한다.

Unit42는 지난 8월 5일, 이 취약점의 Metasploit 모듈이 공개된 지 채 일주일이 지나지 않은 시점에 새로운 샘플을 발견했다.

Gafgyt에 감염 된 기기들은 해킹할 다른 장비들을 스캔해 적절한 익스플로잇을 전달할 수 있다. 또한 이 악성코드에는 Blacknurse 공격을 실행할 수 있는 명령어도 포함 되어 있다. Blacknurse는 CPU 로드에 영향을 미쳐 DoS 컨디션을 유발하는 낮은 대역폭 ICMP 공격이다.

연구원들은 이 두 변종이 동일한 도메인에서 호스팅 되고 있는 것을 발견했다. 이로써 Mirai와 Gafgyt의 배후에 동일한 개발자가 있는 것으로 추측할 수 있다.

지난 8월, 해당 도메인은 다른 IP주소에 있었으며 간헐적으로 소닉월 버그를 악용하는 Gafgyt의 샘플을 호스팅했었다.

팔로알토네트웍스는 “IoT/Linux 봇넷들이 Apache Struts와 SonicWall을 타깃으로하는 익스플로잇을 포함하는 것으로 미루어 공격자들이 개인용 기기에서 기업용 기기로 타깃을 이동시킨다는 것을 알 수 있다”고 밝혔다. [정보. 이스트시큐리티]

★정보보안 대표 미디어 데일리시큐!★


■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★
Tag
#봇넷