새로운 미라이 기반 보트넷 맬웨어인 'ShadowV2'가 D-Link, TP-Link 등의 IoT 장치를 대상으로 알려진 취약점을 이용한 공격을 시도하는 것이 발견되었습니다. Fortinet의 FortiGuard Labs 연구원들은 지난 10월 AWS의 주요 장애 기간 동안 이 활동을 발견했습니다. 두 사건은 연결되어 있지 않지만, 보트넷이 장애 기간 동안만 활성화되었던 것으로 보아 테스트 실행이었을 가능성이 있습니다. ShadowV2는 여러 IoT 제품에서 최소 8개의 취약점을 이용하여 확산되었습니다.
ShadowV2는 198[.]199[.]72[.]27에서 시작된 공격으로, 정부, 기술, 제조, 관리 보안 서비스 제공자(MSSPs), 통신, 교육 등 7개 분야의 라우터, NAS 장치, DVR을 대상으로 했습니다. 공격은 북미, 남미, 유럽, 아프리카, 아시아, 호주 등 전 세계적으로 관찰되었습니다. 이 맬웨어는 "ShadowV2 Build v1.0.0 IoT 버전"으로 자신을 표시하며, Mirai LZRD 변형과 유사합니다.
ShadowV2는 파일 시스템 경로, User-Agent 문자열, HTTP 헤더, Mirai 스타일 문자열에 대한 XOR 인코딩 구성을 사용합니다. 기능적 능력 면에서는 UDP, TCP, HTTP 프로토콜에 대한 분산 서비스 거부(DDoS) 공격을 지원하며, 각각에 대해 다양한 홍수 유형을 제공합니다. 명령 및 제어(C2) 인프라는 이러한 공격을 봇에게 보낸 명령을 통해 트리거합니다. 일반적으로 DDoS 보트넷은 사이버 범죄자에게 화력을 임대하거나 직접 목표를 강요하여 공격을 중단하는 대가로 지불을 요구함으로써 돈을 벌지만, Shadow V2의 배후와 그들의 수익화 전략은 아직 알려지지 않았습니다.
※ 이 글은 생성형 AI(ChatGPT-4)에 의해 요약되었습니다.