Mirai IoT 악성코드, Aboriginal 리눅스 사용해 다수 플랫폼 노려

Mirai IoT Malware Uses Aboriginal Linux to Target Multiple Platforms

보안 연구원들이 다양한 플랫폼, 심지어 안드로이드에서도 실행이 가능한 버전의 Mirai IoT 악성코드를 발견했습니다.

이 Mirai 악성코드의 이름은 Sora로, 올해 초 처음 발견 되었습니다.

초기 버전은 그저 평범했으며, Sora의 원 제작자는 Sora 버전을 제작한지 얼마 지나지 않아 Mirai Owari 버전 제작에 착수했습니다.

Sora 악성코드의 제작자는 “SORA는 지금으로써는 버려진 프로젝트이며, OWARI 작업을 계속 할 것이다”라고 밝힌 바 있습니다.

Mirai Sora 변종 돌아와

Sora의 코드는 버려졌지만, 잊혀지지는 않은 것으로 보입니다. NewSky Security의 악성코드 분석가는 지난 6월부터 Sora의 탐지 수가 증가하고 있다고 밝혔습니다.

이는 다른 악성코드 제작자가 Sora의 코드를 개선하고 있기 때문인 것으로 보입니다. 금일 발표 된 Symantec의 보고서에서는 개선 된 Sora 버전에 대해 자세히 설명했습니다.

새로운 Sora 버전, Aboriginal 리눅스와 함께 컴파일 돼

주목할만한 점은, 제작자가 이 새로운 Sora 버전을 상당한 수의 플랫폼용 바이너리를 생성하는 툴체인 유틸리티인 Aboriginal 리눅스와 함께 컴파일했다는 점입니다. 

이 새로운 변종의 제작자는 이 모든 바이너리를 그의 감염 프로세스에 이용해 그의 Sora 변종을 최대한 많은 기기에 배포하려 시도했습니다.

그가 SSH 패스워드를 추측해 기기에 접근 하면, 감염 루틴은 감염 된 기기의 플랫폼에 맞는 것을 찾을 때 까지 Sora 바이너리의 목록을 하나씩 다운로드 및 실행할 것입니다.

Aboriginal 리눅스를 사용했던 이 Mirai Sora 변종은 7월 이래로 계속 활동하고 있습니다. 연구원들은 안드로이드와 Debian OS에서 성공적으로 실행 된 바이너리를 발견했다고 밝혔습니다. 이들은 이전에는 Mirai가 감염시킬 수 없었던 플랫폼입니다.

Mirai의 활동은 증가 추세

연구원들은 Sora만이 재기하는 것은 아니며, Mirai 공격 다수가 꾸준히 증가하고 있다고 밝혔습니다.

또한 “기기가 재부팅 된 후에도, 취약점이 패치 되지 않기 때문에 다시 타겟이 됩니다.”고 말하며, 이 공격의 성공 요인으로 보안 패치를 하지 않는 구버전 기기들을 지적했습니다.

이 기기들이 패치 되지 않는 한, Mirai는 IoT들과 인터넷 전체를 지속적으로 괴롭힐 것입니다.

출처 : 

https://www.bleepingcomputer.com/news/security/mirai-iot-malware-uses-aboriginal-linux-to-target-multiple-platforms/

https://www.symantec.com/blogs/threat-intelligence/mirai-cross-platform-infection