ClickCease 리눅스 멀웨어가 70,000대의 라우터를 감염시켰습니다.

인기 뉴스레터 구독하기

4,500명 이상의 Linux 및 오픈소스 전문가와 함께하세요!

한 달에 두 번. 스팸이 없습니다.

리눅스 멀웨어가 70,000대의 라우터를 감염시켰습니다.

2023년 7월 31일 TuxCare 홍보팀

Lumen의 Black Lotus Labs 위협 연구팀의 보고서에 따르면 AVrecon이라는 은밀한 Linux 멀웨어가 70,000대 이상의 Linux 기반 소규모 사무실/홈 오피스(SOHO) 라우터를 감염시키는 데 사용되었습니다.

2021년 5월에 처음 발견된 이 멀웨어는 대역폭을 훔치고 숨겨진 주거용 프록시 서비스를 제공하도록 설계되었습니다. 이를 통해 운영자는 디지털 광고 사기부터 비밀번호 스프레이에 이르기까지 광범위한 악성 활동을 숨길 수 있습니다.

이 멀웨어는 처음 발견된 이후 대부분 탐지를 피할 수 있었습니다. 이는 일반적인 취약점에 대한 패치가 적용되지 않은 소호 라우터를 표적으로 삼기 때문입니다. 또한 이 멀웨어는 매우 은밀하기 때문에 감염된 컴퓨터의 소유자는 서비스 중단이나 대역폭 손실을 거의 알아차리지 못합니다.

일단 감염되면 멀웨어는 손상된 라우터의 정보를 임베디드 명령 및 제어(C2) 서버로 전송합니다. 접속 후, 해킹된 머신은 2단계 C2 서버로 알려진 독립적인 서버 그룹과 통신을 설정하도록 지시받습니다.

보안 연구원들은 최소 2021년 10월부터 운영되고 있는 15개의 2단계 제어 서버를 발견했습니다.

루멘의 블랙 로터스 보안팀은 또한 백본 네트워크에서 봇넷의 명령 및 제어(C2) 서버를 널 라우팅하여 AVrecon 위협에 대응했습니다. 이를 통해 악성 봇넷과 중앙 제어 서버 간의 연결을 효과적으로 끊어 유해한 활동을 실행할 수 있는 능력을 크게 저해했습니다.

이 위협의 심각성은 소호 라우터가 일반적으로 기존 보안 경계를 벗어난 곳에 위치하여 방어자의 악성 활동 탐지 능력이 크게 저하된다는 사실에서 비롯됩니다.

중국 사이버 스파이 그룹인 볼트 타이푼은 유사한 전술을 사용하여 해킹된 ASUS, Cisco, D-Link, NetGear, FatPipe, Zyxel 소호 네트워크 장비로 은밀한 프록시 네트워크를 구축하여 합법적인 네트워크 트래픽 내에서 악의적인 활동을 숨겼습니다.

루멘 블랙 로터스 랩의 위협 인텔리전스 디렉터인 미셸 리는 "위협 행위자들은 AVrecon을 사용하여 트래픽을 프록시하고 비밀번호 스프레이와 같은 악의적인 활동을 하고 있습니다."라고 말합니다. "이는 다른 라우터 기반 멀웨어 발견에서 보았던 직접적인 네트워크 타깃팅과는 다릅니다."

"방어자는 이러한 악성 활동이 실제 발신지가 아닌 다른 국가의 주거용 IP 주소로 보이는 곳에서 발생할 수 있으며, 손상된 IP 주소의 트래픽은 지오펜싱 및 ASN 기반 차단과 같은 방화벽 규칙을 우회할 수 있다는 점에 유의해야 합니다."

이 글의 출처는 BleepingComputer의 기사입니다.

요약
리눅스 멀웨어가 70,000대의 라우터를 감염시켰습니다.
기사 이름
리눅스 멀웨어가 70,000대의 라우터를 감염시켰습니다.
설명
AVrecon이라는 은밀한 Linux 멀웨어가 70,000대 이상의 Linux 기반 소규모 사무실/홈 오피스(SOHO) 라우터를 감염시키는 데 사용되었습니다.
작성자
게시자 이름
TuxCare
게시자 로고

Kernel 재부팅, 시스템 다운타임 또는 예정된 유지 보수 기간 없이 취약성 패치를 자동화하고 싶으신가요?

TuxCare로 라이브 패치에 대해 알아보기

TuxCare 게스트 작가 되기

시작하기

메일

가입

4,500

Linux & 오픈 소스
전문가!


뉴스레터 구독하기