여러 멀웨어가 선인장 및 리얼텍 취약점을 노립니다.
사이버 보안 전문가들은 최근 멀웨어를 전파하고 취약한 네트워크 디바이스를 공격하는 봇넷의 활동이 크게 증가하고 있음을 확인했습니다. 이러한 공격은 두 가지 소프트웨어 도구, 즉 Realtek Jungle SDK와 Cacti 결함 관리 모니터링 도구의 결함을 악용하여 ShellBot 및 Moobot 멀웨어를 전송합니다.
공격자가 원격으로 코드를 실행할 수 있게 해주는 두 가지 취약점인 CVE-2021-35394와 CVE-2022-46169는 매우 중요한 것으로 간주됩니다. CVE-2022-46169는 공격자가 인증을 우회하고 선인장 서버에 명령을 삽입할 수 있게 해주는 버그이며, CVE-2021-35394는 임의의 명령을 Realtek 정글 SDK에 삽입할 수 있는 취약점입니다. Fodcha, RedGoBot, Mirai, Gafgyt, Mozi와 같은 다른 봇넷 소프트웨어가 이미 이러한 취약점을 악용했다는 점을 언급할 필요가 있습니다.
포티넷 포티가드랩의 연구에 따르면, 사이버 공격자들은 이 취약점을 이용해 쉘봇(ShellBot, 일명 펄봇)과 무봇(MooBot) 멀웨어를 유포해 왔습니다. 이전에도 미라이, 가프짓, 모지, 레드고봇을 유포하는 데 사용된 적은 있지만, 2019년부터 활동 중인 미라이의 버전인 무봇을 유포하는 데 사용된 것은 이번이 처음입니다.
무봇은 CVE-2022-46169 및 CVE-2021-35394를 익스플로잇하여 취약한 호스트를 감염시킵니다. 무봇이 머신을 감염시키면 설정이 포함된 스크립트를 다운로드하고 C2 서버에 연결합니다. 그 후 바이러스는 명령을 받을 때까지 하트비트 메시지를 전송하고, 이때 공격을 시작합니다. 무봇은 다른 봇넷의 프로세스를 검색하고 종료하는 기능을 통해 손상된 호스트의 하드웨어 리소스를 최적화하고 DDoS 공격을 실행할 수 있습니다.
반면 쉘봇은 주로 캑티 취약점을 익스플로잇하는 데 집중하고 있습니다. 포티넷은 쉘봇의 세 가지 버전을 발견했으며, 이는 쉘봇이 활발히 개발되고 있음을 나타냅니다. 초기 버전은 C2 서버에 연결하여 포트 검색, 파일 및 폴더 제거, 버전 정보 전송, 파일 다운로드, UDP DDoS 공격 시작, 리버스 셸 주입 등 다양한 작업을 수행하기 위해 명령을 기다립니다. 두 번째 버전에는 더 광범위한 지침이 포함되어 있으며, PacketStorm 및 milw0rm의 공개 권고 및 뉴스에서 데이터를 가져와 익스플로잇을 업그레이드하는 모듈도 포함되어 있습니다.
포티넷의 보고서에는 동일한 위협 공격자가 무봇과 쉘봇을 유포했는지 여부가 명시적으로 나와 있지 않습니다. 하지만 페이로드가 중복 공격 버스트에서 동일한 결함을 악용하는 것이 관찰되었습니다. 무트봇과 쉘봇을 방어하기 위해 권장되는 조치는 강력한 관리자 비밀번호를 사용하고 언급된 취약점을 수정하는 보안 업데이트를 적용하는 것입니다. 사용 중인 디바이스가 공급업체에서 더 이상 지원되지 않는 경우 최신 모델로 교체하여 보안 업데이트를 받아야 합니다.
이 글의 출처는 BleepingComputer의 기사입니다.