Home > 전체기사
미라이의 가장 최신 변종 무카시, 자이젤의 NAS 공략 중
  |  입력 : 2020-03-23 16:53
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
자이젤에서 얼마 전에 발표한 취약점, CVE-2020-9054...익스플로잇 이미 등장
미라이와 여러 면에서 흡사한 변종 무카시...IoT 봇넷 확장하고 디도스도 가능


[보안뉴스 문가용 기자] 악명 높은 멀웨어인 미라이(Mirai)의 또 다른 변종이 나타났다. 미라이는 사물인터넷 장비들만을 노리는 것으로 유명한데, 이번 변종은 자이젤(Zyxel)에서 만든 네트워크 스토리지(NAS) 제품들을 집중적으로 공략하는 것으로 알려졌다. 자이젤 제품에서 최근 발견된 취약점을 통해서다.

[이미지 = iclickart]


자이젤은 지난 달 NAS와 방화벽 제품 일부에서 치명적인 취약점이 발견됐다고 고객에게 알린 바 있다. 이 취약점은 CVE-2020-9054로, 익스플로잇이 될 경우 원격의 승인되지 않은 공격자가 임의의 코드를 실행할 수 있게 된다.

그러면서 자이젤은 펌웨어 업데이트를 발표했다. 해당 취약점의 익스플로잇은 이미 취약점 정보가 공개되기 전부터 사이버 범죄자들의 암시장에서 거래되고 있었다는 소식도 함께였다. 일각에서는 이모텟(Emotet)이라는 악명 높은 뱅킹 트로이목마의 배후에 있는 자들이 이 익스플로잇과 관련이 있다는 보고서가 나오기도 했다.

배경이야 어찌됐든 중요한 건 익스플로잇이 나타났다는 것이다. 사이버 범죄자들은 CVE-2020-9054를 적극 익스플로잇 하기 시작했다. 보안 업체 팔로알토 네트웍스(Palo Alto Networks)는 자이젤(Zyxel) 장비를 겨냥한 실제 공격을 3월 12일에 처음 발견해 알렸다. 공식 발표된 사례로는 이것이 처음이다.

팔로알토 네트웍스는 당시 이 공격에 대해 알리며 “무카시(Mukashi)라는 이름의 미라이 변종이 전파되고 있다”고 경고했다. 감염이 성공적으로 진행될 경우 무카시는 브루트포스 공격을 진행해 같은 네트워크에 있는 사물인터넷 장비들을 하나하나 장악한다. 미라이의 방식과 흡사하다.

무카시는 장비에 올라타고 나서 TCP 포트 23번을 탐색한다. 그런 후 다양한 크리덴셜 조합을 사용해 다른 시스템에 접근하려는 시도를 이어간다. 하지만 공격자들이 멀웨어에 전달하는 악성 행위나 명령이 무엇이냐에 따라 다른 공격도 실시할 수 있다. 가장 대표적인 게 디도스 공격이다.

“무카시는 실행이 됨과 동시에 화면에 ‘장비를 감염으로부터 보호하고 있습니다’라는 경고 메시지를 띄웁니다. 그런 후에 프로세스 이름을 dvrhelper라고 변경합니다. 이 역시 미라이에서 나타나는 특징 중 하나이기도 합니다. 무카시 공격자들이 미라이로부터 많은 것을 차용한 것이 분명해 보입니다.” 팔로알토가 블로그를 통해 밝힌 내용이다.

3줄 요약
1. 미라이의 또 다른 변종 무카시 등장.
2. 현재 무카시는 자이젤에서 만든 NAS 장비를 집중적으로 공략 중.
3. 봇넷에 편입시키는 기능 외에 디도스 공격 기능도 가지고 있음.

Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
모니터랩 파워비즈 6개월 2020년6월22~12월 22일 까지넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
2020년 한해 동안 가장 큰 관심을 갖고 있는 보안 분야는 무엇인가요?
인공지능(AI) 보안
비대면(언택트) 보안
데이터3법/개인정보보호
빅데이터 보안
클라우드 보안
자율주행차 보안
사물인터넷 보안
스마트시티 보안
기타(댓글로)