연구원들이 여러 미국 정부 및 통신 기관에 대한 공격과 연결된 사물 인터넷(IoT) 봇넷을 발견했습니다.

"KV-Botnet"이 공개되었습니다. Lumen의 Black Lotus Labs 보고서는 최소 XNUMX개 이상의 공급업체에서 개발한 SOHO(소규모 사무실 홈 오피스) 네트워크 장치를 감염시키도록 설계되었습니다. 일련의 스텔스 메커니즘과 LAN(근거리 통신망)으로 더 멀리 확산할 수 있는 기능을 갖추고 있습니다.

주목할 만한 구독자 중 하나는 Volt Typhoon 지능형 지속 위협(일명 Bronze Silhouette)입니다. 이 공격자는 미국의 중요 인프라에 대한 공격으로 유명하며 헤드라인을 장식하는 중국 정부 지원 위협 행위자입니다. 플랫폼이 여기에 관여한 것으로 보입니다. 이전에 보고된 볼트 태풍 캠페인 두 통신 회사, 인터넷 서비스 제공업체(ISP), 괌에 본사를 둔 미국 정부 기관을 상대로 소송을 제기했습니다. 그러나 이는 Volt Typhoon 인프라의 일부일 뿐이며 다른 위협 행위자도 이를 사용하고 있는 것이 거의 확실합니다.

KV-Botnet 내부

KV-Botnet은 적어도 2022년 320월부터 Cisco RVXNUMX, DrayTek Vigor 및 Netgear ProSafe 제품 라인을 포함한 SOHO 라우터를 주로 감염시켰습니다. XNUMX월 중순에는 Axis Communications에서 개발한 IP 카메라를 활용하도록 확장되었습니다.

중국에 위치한 IP 주소에서 관리되는 봇넷은 고가치 대상에 대한 수동 공격을 포함하는 "KY" 클러스터와 더 광범위한 대상을 지정하고 덜 정교한 기술을 포함하는 "JDY" 클러스터의 두 그룹으로 크게 나눌 수 있습니다.

지금까지 대부분의 KV-Botnet 감염은 후자 집단에 속하는 것으로 보입니다. 봇넷은 미국의 사법 기관, 위성 네트워크 제공업체, 군사 기관, 유럽에 기반을 둔 재생 에너지 회사 등 이전에 공개되지 않은 여러 유명 조직을 공격했습니다.

이 프로그램은 아마도 고급 계층형 스텔스 기능으로 가장 유명할 것입니다. 이는 완전히 메모리에 상주합니다(반면으로 이는 다음을 사용하여 부팅할 수 있음을 의미함). 간단한 장치 다시 시작). 감염된 장치에서 실행 중인 일련의 프로세스와 보안 도구를 확인 및 종료하고, 장치에 이미 있는 임의 파일의 이름으로 실행하며, 명령 및 제어(C2) 통신을 위한 임의 포트를 생성합니다. 탐지를 피하기 위해.

하지만 최고의 스텔스 기능은 처음에 감염시키는 장치에 내재되어 있습니다.

SOHO 봇넷의 이점

지난 XNUMX월 그룹 나들이를 하던 중, Microsoft 연구원이 메모했습니다. Volt Typhoon이 SOHO 네트워크 에지 장치(방화벽, 라우터, VPN 하드웨어)를 통해 모든 악성 트래픽을 프록시 처리한 방법에 대해 알아보세요. Beyond Identity의 CEO인 Jasson Casey는 주거용 장치가 악성 트래픽을 숨기는 데 특히 유용하다는 사실이 한 가지 이유일 수 있다고 설명합니다.

“인프라 제공업체(AT&T, Amazon AWS, Microsoft 등)와 기업 전용 인터넷의 대부분은 잘 알려져 있고 등록되어 있습니다.”라고 그는 말합니다. “이를 고려하면 대부분의 트래픽은 인프라나 기업 주소가 아닌 거주지 주소에서 발생해야 합니다. 이 때문에 많은 보안 도구는 주거용 IP 주소에서 발생하지 않은 트래픽을 의심스러운 것으로 표시합니다.”

그 외에도 그는 “주거용 장비는 안전하게 구성되지 않은 경우가 많기 때문에 상대적으로 위험이 없는 운영 자산을 나타냅니다(예: 기본 비밀번호를 변경하지 않음) 또는 정기적으로 업데이트되므로 손상되기 쉽습니다. 또한 홈 관리자는 장비를 거의 모니터링하지 않으며 타협이 어떤 것인지 이해할 수도 있습니다.”

일반적인 작업 부하에 비해 SOHO 장비의 대역폭이 상대적으로 높다는 것은 악성 봇넷이라 할지라도 일반 사용자가 관찰할 수 있는 영향이 거의 없다는 것을 의미합니다. Lumen 연구원들은 수명이 다한 장치가 여전히 취약한 상태에서 작동하는 비율이 높고 이러한 장치를 통해 공격자가 지오펜싱 제한을 우회할 수 있는 방법과 같은 여러 가지 다른 이점도 언급했습니다.

KV-Botnet 바이너리 내의 어떤 기능도 대상의 더 넓은 근거리 통신망(LAN)에서 추가 감염을 일으키도록 설계되지 않았습니다. 그러나 연구원들은 봇넷을 통해 공격자가 감염된 장치에 리버스 셸을 배포하여 임의 명령 및 코드 실행을 위한 길을 열거나 LAN 공격을 위한 추가 악성 코드를 검색할 수 있다고 지적했습니다.

Casey는 "이러한 장치는 손상되기 쉽고, 필터링하기 어렵고, 모니터링이나 조사 가능성이 낮다는 점을 감안할 때 위협 행위자로서 작동할 수 있는 주요 자산입니다."라고 결론지었습니다.

• SEO 기반 콘텐츠 및 PR 배포. 오늘 증폭하십시오.
• PlatoData.Network 수직 생성 Ai. 자신에게 권한을 부여하십시오. 여기에서 액세스하십시오.
• PlatoAiStream. 웹3 인텔리전스. 지식 증폭. 여기에서 액세스하십시오.
• 플라톤ESG. 탄소, 클린테크, 에너지, 환경, 태양광, 폐기물 관리. 여기에서 액세스하십시오.
• PlatoHealth. 생명 공학 및 임상 시험 인텔리전스. 여기에서 액세스하십시오.
• 출처: https://www.darkreading.com/cloud-security/volt-typhoon-soho-botnet-infects-us-govt-entities