중국 국가 후원의 APT 해킹 그룹인 Volt Typhoon(Bronze Silhouette)이 고가 대상의 SOHO 라우터를 공격하기 위해 2022년 이후로 복잡한 봇넷 'KV-botnet'을 사용하고 있다는 보고가 있습니다. Volt Typhoon은 일반적으로 라우터, 방화벽, VPN 장치를 대상으로 하여 악의적인 트래픽이 합법적인 트래픽과 섞여 감지되지 않도록 합니다. 미국 정부와 Microsoft의 공동 보고서에 따르면, 이 공격자들은 미국의 통신 인프라를 방해할 수 있는 인프라를 구축하고 있습니다.

Lumen Technologies의 Black Lotus Labs 팀이 오늘 발표한 자세한 보고서에 따르면, Volt Typhoon 캠페인은 Netgear ProSAFE 방화벽, Cisco RV320s, DrayTek Vigor 라우터를 대상으로 하고 있으며, 최근에는 Axis IP 카메라도 대상으로 하고 있습니다. "이 캠페인은 네트워크의 가장자리에 있는 장치를 감염시키는데, 이 부분은 많은 기업의 방어 체계에서 약점으로 부상했다"라고 Lumen은 설명했습니다. KV-botnet을 이용한 은밀한 데이터 전송 네트워크는 통신 및 인터넷 서비스 제공업체, 괌의 미국 영토 정부 기관, 유럽의 재생 에너지 회사, 미국 군사 조직을 대상으로 한 공격에 사용되었습니다.

Black Lotus는 'KV'와 'JDY'라는 두 가지 활동 군집을 식별했습니다. 전자는 고가 대상을 대상으로 하며 수동으로 운영될 가능성이 있으며, 후자는 덜 복잡한 기술을 사용하여 더 넓은 범위를 스캔합니다. 봇넷은 SOHO 엔티티가 사용하는 수명이 다한 장치를 대상으로 하며, 이들 엔티티는 안전한 보안 태도를 유지하지 않습니다. 공격은 처음에는 Cisco RV320s, DrayTek Vigor 라우터, NETGEAR ProSAFE 방화벽을 중심으로 진행되었지만, 나중에는 Axis IP 카메라도 대상으로 확대되었습니다.

요약

- 중국 국가 후원의 APT 해킹 그룹 Volt Typhoon이 복잡한 봇넷 'KV-botnet'을 사용하여 고가 대상의 SOHO 라우터를 공격하고 있다.
- Volt Typhoon 캠페인은 Netgear ProSAFE 방화벽, Cisco RV320s, DrayTek Vigor 라우터, 그리고 최근에는 Axis IP 카메라를 대상으로 하고 있다.
- Black Lotus는 'KV'와 'JDY'라는 두 가지 활동 군집을 식별했으며, 이들은 각각 고가 대상을 대상으로 하며 수동으로 운영되거나 덜 복잡한 기술을 사용하여 더 넓은 범위를 스캔한다.

Reference

https://www.bleepingcomputer.com/news/security/stealthy-kv-botnet-hijacks-soho-routers-and-vpn-devices/

*※ 이 글은 생성형 AI(ChatGPT-4)에 의해 요약되었습니다.*