Hackers Exploiting Spring4Shell Vulnerability to Deploy Mirai Botnet Malware 최근 공개된 치명적인 Spring4Shell 취약점이 2022년 4월 초부터 싱가폴 지역에서 Mirai 봇넷 악성코드 배포하기 위해 활발히 악용되고 있는 것으로 나타났습니다. Trend Micro의 연구원인 Deep Patel, Nitesh Surana, Ashish Verma는 지난 금요일 보고서를 발표해 아래와 같이 밝혔습니다. "공격자가 Mirai 샘플을 '/tmp' 폴더에 다운로드하고 'chmod'를 사용하여 권한을 변경한 후 이를 실행할 수 있습니다." CVE-2022-22965(CVSS 점수: 9.8)로 등록된 이 취약점은 공격자가 기본 설정이 아닌 상황에서..

국내외 보안동향 2022. 4. 11. 14:00

Dark Nexus, a new IoT botnet that targets a broad range of devices 비트디펜더의 사이버 보안 연구원들이 DDoS 공격에 사용되는 새로운 IoT 봇넷인 Dark Nexus를 발견했습니다.이 봇넷은 익스플로잇을 통해 확산되고, 라우터(다산 존, Dlink, ASUS), 영상 레코더, 열 화상 카메라를 포함한 광범위한 IoT 기기에 대해 크리덴셜 스터핑 공격을 실행합니다. “이 스캐너는 Telnet 프로토콜과 후속 감염 단계를 모델링하는 유한 상태 기계로 구현되어 공격자는 이전 명령 출력을 기반으로 명령을 발행합니다.” Dark Nexus라는 이름은 봇넷 배너에 인쇄된 문자열에서 따왔습니다. 전문가들은 일부 봇넷 기능은 직접 작성한 것이지만, 코드에서는 Mi..

국내외 보안동향 2020. 4. 9. 13:47

New Mirai botnet hides C2 server in the Tor network to prevent takedowns 트렌드마이크로의 연구원들이 C&C 서버를 Tor 네트워크에 숨기는 새로운 미라이(Mirai) 봇넷을 발견했습니다. 이번에 발견된 변종은 봇넷 운영자의 익명성을 보호하고 법 집행 기관의 봇넷 붕괴 작업을 어렵게 하기 위한 조치로 보입니다. 연구원은 발견된 샘플이 익명성 보장을 위해 C&C 서버를 Tor 네트워크에 숨기고, 봇넷 붕괴 과정을 더욱 어렵게 하기 위해 커맨드 센터를 숨겼다고 전했습니다. 미라이 악성코드는 2016년 전문가인 MalwareMustDie가 IoT 기기들을 노린 대규모 공격에서 처음으로 발견했습니다. 미라이의 코드가 온라인에 유출되자 수많은 변종들이 생겨났..

국내외 보안동향 2019. 8. 2. 10:50

A bug in Mirai code allows crashing C2 servers NewSky Security의 연구원인 Ankin Anubhav가 미라이 봇(Mirai) 변종에 존재하는 버그를 이용해 C&C 서버를 중단하는 방법에 대해 소개했습니다. 그는 계정 명에 1025개 이상의 문자 “a”를 연속적으로 사용하여 C&C 서버와 연결을 시도할 경우 C&C 서버가 중단된다고 밝혔습니다. Github의 미라이 소스 코드 분석 결과, 사용자 이름이 Readline 커스텀 함수로 전달되는 것을 발견했습니다. 이 함수는 고정 버퍼 사이즈 길이를 1024로 선언했기 때문에, 1024보다 큰 값을 입력할 경우 모듈이 중단됩니다. 주요 IoT 봇넷이 미라이 코드를 기반으로 하고 있기 때문에, 이 취약점은 많은 변..

국내외 보안동향 2019. 5. 9. 09:00

New Mirai Variant Comes with 27 Exploits, Targets Enterprise Devices 새로운 익스플로잇 11개를 추가한 새로운 미라이 변종이 기업용 WePresent WiPG-1000 무선 프레젠테이션 시스템 및 LG Supersign TV와 같은 인기 있는 장비들을 노리고 있는 것으로 나타났습니다. 지난 9월 Palo Alto Network의 Unit 42가 발표한 보고서에서는 Apache Struts 서버로 타깃을 변경한 미라이 봇넷이 작년 발생한 Equifax 사태에서 사용된 것과 동일함을 발견했으며, SonicWall 방화벽 공격에서 Gafgyt 버전 또한 발견되었습니다. 이는 기업의 자산을 노리는 더욱 큰 활동으로 볼 수 있습니다. ※ 관련글 보기 ▶ Mir..

국내외 보안동향 2019. 3. 19. 10:10

New Iot Botnet Torii Uses Six Methods for Persistence, Has No Clear Purpose 보안 연구원들이 Mirai 변종보다 우월한 수준의 새로운 IoT 봇넷을 발견했습니다. 이 봇넷의 개발자들은 CPU 아키텍쳐 다수용 바이너리를 제작하여 스텔스 및 지속성을 위해 악성코드를 조정했습니다. C&C 서버와의 통신은 암호화 되었으며, 추출 및 명령 실행 등의 기능을 포함하고 있습니다. Avast의 연구원들에 따르면, 이 악성코드는 지난 2017년 12월부터 활동해왔으며 MIPS, ARM, x86, x64, PowerPC, SuperH 등의 CPU 아키텍쳐 기기들을 노립니다. Mirai 기반의 위협들 사이에서 멀티 플랫폼 지원은 흔한 것이지만, 연구원들은 Torii..

국내외 보안동향 2018. 9. 28. 15:49

Mirai, Gafgyt IoT Botnets Reach To the Enterprise Sector 가장 잘 알려진 IoT 봇넷인 Mirai와 Gafgyt의 새로운 변종이 분산형 공격을 위한 DoS 리소스를 추가/보충하기 위해 기업 부문을 노리고 있는 것으로 나타났습니다. 양쪽 악성코드들 모두 몇 년 전 공개 되어 사이버 범죄자들이 그들만의 버전을 만들기 시작했습니다. 이 최신 변종은 비즈니스용 기기를 노리는 것으로 확인되었습니다. Palo Alto Networks Unit 42에서 공개한 보고서에서는 새로운 Mirai와 Gafgyt가 오래 된 취약점을 악용하는 코드를 추가했다고 밝혔습니다. Mirai는 패치 되지 않은 Apache Struts를 사용하는 시스템을 노리기 시작했습니다. 이 버전은 지난해..

국내외 보안동향 2018. 9. 12. 15:21

올해 6월 새로운 봇넷인 Hikai가 발견되었습니다. Hakai는 Qbot（Gafgyt、Bashlite、Lizkebab、Torlus혹은 LizardStresser라고도 부름）을 기반으로 하고 있으며, 2009년에 이미 웜의 형태로 발견되었고 그 소스가 공개된 악성코드입니다. Hakai 봇넷의 첫번째 버전은 복잡하지 않고 별다른 활동도 하지 않았습니다. 이 개발자는 초기에 보안연구원인 Anubhav의 인기를 이용하여 hakai를 홍보하여 사용자들의 주목을 끌려고 했습니다. Anubhav가 말하길 "악성코드 개발자는 심지어 내 사진을 Hakai C&C 서버인 hakaiboatnet[.]pw 메인페이지로 해놓기도 했다"고 밝혔습니다. .pw는 파키스탄 국가의 최상위 도메인으로, .com, .net 등과 동일한..

국내외 보안동향 2018. 9. 11. 18:17