'Ficora'와 'Capsaicin'이라는 두 봇넷이 라이프 사이클이 끝나거나 구식 펌웨어를 실행하는 D-Link 라우터를 대상으로 한 공격 활동이 증가하고 있습니다. 이들은 DIR-645, DIR-806, GO-RT-AC750, DIR-845L 등 개인과 조직이 널리 사용하는 D-Link 장치를 공격하고 있습니다. 이들 봇넷은 초기 접근을 위해 CVE-2015-2051, CVE-2019-10891, CVE-2022-37056, CVE-2024-33112 등의 알려진 취약점을 이용합니다.
장치가 한 번 탈취되면, 공격자들은 D-Link의 관리 인터페이스(HNAP)의 약점을 이용하여 GetDeviceSettings 액션을 통해 악성 명령을 실행합니다. 이 봇넷들은 데이터를 도난하고 쉘 스크립트를 실행할 수 있습니다. 공격자들은 분산 서비스 거부(DDoS) 공격을 위해 이 장치들을 탈취하는 것으로 보입니다. Ficora는 일본과 미국을 중심으로 전 세계적으로 분포하고 있으며, Capsaicin은 주로 동아시아 국가를 대상으로 하고 있습니다.
이 두 봇넷을 방어하는 한 가지 방법은 라우터와 IoT 장치가 최신 펌웨어 버전을 실행하도록 하는 것입니다. 이는 알려진 취약점을 해결해야 합니다. 만약 장치가 수명을 다하고 보안 업데이트를 더 이상 받지 않는다면, 새 모델로 교체해야 합니다. 일반적인 조언으로는, 기본 관리자 자격 증명을 고유하고 강력한 비밀번호로 교체하고, 필요하지 않은 경우 원격 접근 인터페이스를 비활성화해야 합니다.
요약
- 'Ficora'와 'Capsaicin' 봇넷이 라이프 사이클이 끝나거나 구식 펌웨어를 실행하는 D-Link 라우터를 공격하는 활동이 증가하고 있다.
- 이들 봇넷은 알려진 취약점을 이용하여 초기 접근을 시도하며, 장치가 탈취되면 D-Link의 관리 인터페이스의 약점을 이용하여 악성 명령을 실행한다.
- 봇넷을 방어하는 한 가지 방법은 라우터와 IoT 장치가 최신 펌웨어 버전을 실행하도록 하는 것이며, 장치가 수명을 다하고 보안 업데이트를 더 이상 받지 않는다면, 새 모델로 교체해야 한다.
- 기본 관리자 자격 증명을 고유하고 강력한 비밀번호로 교체하고, 필요하지 않은 경우 원격 접근 인터페이스를 비활성화하는 것이 좋다.
- Ficora는 일본과 미국을 중심으로 전 세계적으로 분포하고 있으며, Capsaicin은 주로 동아시아 국가를 대상으로 하고 있다.
※ 이 글은 생성형 AI(ChatGPT-4)에 의해 요약되었습니다.