수백만 개의 라우터와 사물 인터넷(IoT) 장치를 대상으로 하는 위험한 악성 코드 샘플의 작성자가 소스 코드를 GitHub에 업로드했습니다. 이는 다른 범죄자가 이제 도구의 새로운 변종을 빠르게 스핀업하거나 자체 공격에서 그대로 사용할 수 있음을 의미합니다. 캠페인.
AT&T Alien Labs의 연구원들은 지난 30월 악성코드를 처음 발견하고 "BotenaGo"라는 이름을 붙였습니다. 맬웨어는 Go로 작성되었습니다. 이는 맬웨어 작성자 사이에서 매우 인기 있는 프로그래밍 언어입니다. Linksys, D-Link, Netgear 및 ZTE를 비롯한 여러 공급업체의 제품에 있는 XNUMX개 이상의 다양한 취약점에 대한 익스플로잇으로 가득 차 있습니다.
BotenaGo는 취약점 악용에 성공한 시스템에서 원격 셸 명령을 실행하도록 설계되었습니다. 안 분석 Alien Labs가 악성코드를 처음 발견했을 때 작년에 수행한 결과에 따르면 BotenaGo는 두 가지 다른 방법을 사용하여 피해자를 대상으로 하는 명령을 수신했습니다. 그 중 하나는 대상 장치의 IP 주소를 수신 및 수신하기 위한 두 개의 백도어 포트를 포함하고 다른 하나는 시스템 I/O 사용자 입력에 대한 리스너를 설정하고 이를 통해 대상 정보를 수신하는 백도어 포트입니다.
Alien Labs의 연구원은 멀웨어가 원격 서버에서 명령을 수신하도록 설계되었지만 활성 명령 및 제어 통신이 없음을 발견했습니다. 이로 인해 보안 공급업체는 BotenaGo가 더 광범위한 맬웨어 제품군의 일부였으며 감염 체인의 여러 도구 중 하나였을 것이라고 추측했습니다. 보안 공급업체는 또한 BotenaGo의 페이로드 링크가 악명 높은 Mirai 봇넷 악성코드의 운영자가 사용하는 링크와 유사하다는 것을 발견했습니다. 이로 인해 Alien Labs는 BotenaGo가 Mirai 운영자가 알고 있는 특정 기계를 대상으로 하는 데 사용하는 새로운 도구라는 이론을 세웠습니다.
IoT 장치 및 라우터 히트
불명확한 이유로 악성 코드의 알려지지 않은 작성자는 최근 GitHub를 통해 BotenaGo의 소스 코드를 공개적으로 사용할 수 있도록 했습니다. Alien Labs는 다른 맬웨어 작성자가 특정 목적 및 공격 캠페인을 위해 소스 코드를 사용 및 조정함에 따라 이러한 이동으로 인해 잠재적으로 BotenaGo 변종이 크게 증가할 수 있다고 말했습니다. 블로그 이번 주. 회사는 BotenaGo 표면의 새로운 샘플을 관찰했으며 IoT 장치 및 라우터에 Mirai 봇넷 악성코드를 전파하는 데 사용하고 있다고 말했습니다. BotenaGo의 페이로드 서버 중 하나는 최근에 발견된 Log4j 취약점에 대한 손상 지표 목록에도 있습니다.
BotenaGo 악성코드는 2,891줄의 코드로 구성되어 있어 여러 새로운 변종에 대한 잠재적으로 좋은 출발점이 됩니다. 여러 라우터 및 IoT 장치의 30개 이상의 취약점에 대한 익스플로잇이 포함되어 있다는 사실은 맬웨어 작성자가 매력적으로 고려할 가능성이 있는 또 다른 요소입니다. BotenaGo가 악용할 수 있는 많은 취약점에는 특정 D-Link 무선 라우터의 CVE-2015-2051, Netgear 제품에 영향을 미치는 CVE-2016-1555, Linksys 장치의 CVE-2013-3307, 특정 ZTE 케이블에 영향을 미치는 CVE-2014-2321이 포함됩니다. 모뎀 모델.
Alien Labs 악성 코드 연구원 Ofer Caspi는 이전에 언급한 블로그 게시물에서 "Alien Labs는 전 세계적으로 라우터 및 IoT 장치를 대상으로 하는 BotenaGo 변종을 기반으로 하는 새로운 캠페인을 볼 것으로 기대합니다."라고 말했습니다. "이 기사가 게시된 시점에서 BotenaGo 및 그 변종에 대한 안티바이러스(AV) 공급업체 탐지는 대부분의 AV 공급업체의 탐지 범위가 매우 낮고 뒤쳐져 있습니다."
Alien Labs에 따르면 VirusTotal의 60개 AV 중 XNUMX개만 현재 멀웨어를 탐지할 수 있습니다.
회사는 이러한 움직임을 Mirai의 작성자가 2016년 해킹 커뮤니티 포럼에 악성코드의 소스 코드를 업로드했을 때 만든 것과 비교했습니다. 코드 릴리스로 인해 다음과 같은 다양한 Mirai 변형이 개발되었습니다. Satori, Moobot 및 Masuta는 수백만 건의 IoT 장치 감염을 설명했습니다. Mirai 코드 릴리스는 고유한 기능, 새로운 기능 및 새로운 익스플로잇을 가진 변종을 낳았습니다.
