봇넷, 하루 약 15,000대의 감염된 디바이스와 통신하며 중국, 이란, 러시아, 터키, 미국 등 다수 국가서 확인
미라이(Mirai) 봇넷의 새로운 변종이 포스페이스(Four-Faith) 산업용 라우터의 취약점을 악용해 대규모 분산 서비스 거부(DDoS) 공격을 수행하고 있는 것으로 확인됐다. 이번에 악용된 취약점은 CVE-2024-12856으로, F3x24와 F3x36 모델에 영향을 미치는 운영 체제(OS) 명령 삽입 취약점이다. 기본 인증 정보를 변경하지 않을 경우 공격자가 라우터를 장악할 수 있다.
이번 변종은 2024년 2월 처음 발견된 이후 빠르게 확산되었으며, 20개 이상의 보안 취약점을 활용해 활동 범위를 넓혀왔다. 중국 기반의 보안 연구소인 치안신(QiAnXin) XLab은 이번 변종이 2024년 11월 9일부터 포스페이스 라우터의 취약점을 적극적으로 악용했다고 밝혔다.
이 봇넷은 하루 약 15,000대의 감염된 디바이스와 통신하며, 중국, 이란, 러시아, 터키, 미국 등 다수의 국가에서 확인됐다. 공격은 10~30초간 지속되며, 최대 100Gbps의 트래픽을 생성하여 수백 개의 목표를 겨냥한다. 특히, 2024년 10월과 11월에는 활동이 최고조에 달했다.
이 변종의 주요 성공 요인은 CVE-2013-3307, CVE-2016-20016, CVE-2024-8956 등 구형 및 최신 취약점을 모두 악용하는 데 있다. 디바이스를 장악한 후에는 악성 프로세스를 은폐하고, 취약한 장비를 스캔하며, 업데이트를 다운로드해 운영 효율성을 유지한다.
보안 기업 벌른체크(VulnCheck)는 CVE-2024-12856을 통해 리버스 쉘(reverse shell)과 미라이 유사 페이로드를 배포하는 사례를 확인했다고 밝혔다. 이러한 공격 방식은 최근 준퍼 네트워크스(Juniper Networks)의 세션 스마트 라우터(Session Smart Router)와 디지에버(DigiEver) DVR 시스템을 대상으로 한 미라이 공격에서도 나타난 바 있다.
전문가들은 이러한 봇넷의 증가가 기업, 정부, 개인 사용자 모두에게 심각한 위협이 되고 있다고 경고했다. "DDoS 공격은 빈도뿐 아니라 복잡성도 증가하고 있다"며, 치안신 XLab 연구원은 "공격 기법이 고도화되면서 탐지와 대응이 더욱 어려워지고 있다"고 말했다.
특히, 이 봇넷을 운영하는 동일한 위협 행위자들이 PHP 서버의 취약점(CVE-2024-4577)을 악용해 암호화폐 채굴 악성코드인 패킷크립트(PacketCrypt)를 배포하는 사례도 확인되고 있다.
보안 전문가들은 봇넷 위협을 줄이기 위해 신속한 대응을 강조했다. 주요 권고 사항은 다음과 같다.
-펌웨어 업데이트: CVE-2024-12856과 같은 취약점에 대한 패치를 즉시 적용해야 한다.
-기본 인증 정보 변경: 라우터와 네트워크 디바이스의 기본 암호를 강력하고 고유한 암호로 교체해야 한다.
-네트워크 트래픽 모니터링: 이상 활동을 탐지하기 위해 침입 탐지 시스템(IDS)과 네트워크 모니터링 도구를 사용해야 한다.
-네트워크 분리: IoT 및 산업용 디바이스를 주요 시스템과 분리해 감염 시 피해를 최소화해야 한다.
전문가들은 또한 IoT 및 산업용 기기에 대한 보안 표준을 강화하기 위한 글로벌 협력의 필요성을 강조했다. 이를 간과하면 더 심각하고 광범위한 DDoS 공격이 발생할 위험이 크다고 지적했다.
★정보보안 대표 미디어 데일리시큐 /Dailysecu, Korea's leading security media!★
![[김장현의 테크와 사람] 〈66〉AI 오남용과의 전쟁](https://img.etnews.com/news/article/2025/01/07/news-p.v1.20250107.c4c63176402d440d89cc30f061c86a9d_P3.jpg)
![[주의] 이반티, 커넥트 시큐어 제로데이 취약점 악용한 해킹 공격 경고](https://www.dailysecu.com/news/photo/202501/162864_190931_5751.jpg)
