[º¸¾È´º½º ¿øº´Ã¶ ±âÀÚ] ¿¡½ºÄɾî´Â ÃÖ±Ù Çѱ¹ÀÇ ¾Èµå·ÎÀÌµå »ç¿ëÀÚ¸¦ °Ü³ÉÇÑ ¹ðÅ· Æ®·ÎÀÌ ¸ñ¸¶ ¡®¼û´Ïº¿(SoumniBot)¡¯ÀÇ È°µ¿À» °æ°íÇß´Ù.
[À̹ÌÁö=gettyimagesbank]
·¹ÄÚµðµåǻó, ¼¾Æ¼³Ú¿ø, Ä«½ºÆÛ½ºÅ° µî ´Ù¼öÀÇ º¸¾È Àü¹®±â¾÷Àº ¹ðÅ· Æ®·ÎÀÌ ¸ñ¸¶ ¼û´Ïº¿(SoumniBot)ÀÇ È°µ¿À» °¨½ÃÇÏ°í ÀÖ´Ù. ·¹ÄÚµðµåǻó¿¡ µû¸£¸é ¡®¼û´Ïº¿¡¯ ¾Ç¼ºÄÚµå´Â 2024³â 4¿ù 17ÀÏ ÃÖÃÊ·Î º¸°íµÆÀ¸¸ç, ÁÖ·Î Çѱ¹ »ç¿ëÀÚ¸¦ Ç¥ÀûÀ¸·Î »ï´Â »õ·Î¿î ¾Èµå·ÎÀÌµå ¹ðÅ· Æ®·ÎÀÌ ¸ñ¸¶´Ù.
ÇØ´ç ¾Ç¼ºÄÚµå´Â ŽÁö¸¦ ȸÇÇÇϱâ À§ÇØ Á¤±³ÇÑ ³µ¶È ±â¼úÀ» »ç¿ëÇÏ´Â °ÍÀÌ °üÂûµÆ´Ù. ¼û´Ïº¿Àº ¾Èµå·ÎÀÌµå ¸Å´ÏÆ佺Ʈ ÃßÃâ ¹× ±¸¹® ºÐ¼® ÇÁ·Î¼¼½ºÀÇ Ãë¾àÁ¡À» ¾Ç¿ëÇØ, ȸÇǸ¦ À§ÇØ ¾ÐÃà ¹æ¹ý °ª°ú ¸Å´ÏÆ佺Ʈ ÆÄÀÏ Å©±â¸¦ Á¶ÀÛÇÑ´Ù.
ƯÈ÷ ¾Èµå·ÎÀÌµå ¹ðÄ¿¿¡¼´Â ÈçÇÏÁö ¾ÊÀº Çѱ¹ ¿Â¶óÀÎ ¹ðÅ· Å°¸¦ ÈÉÄ¡´Â °ÍÀ¸·Î ¾Ë·ÁÁ³´Ù. ÀÌ ¾Ç¼ºÄÚµå´Â ¼³Ä¡ ½Ã ¡â¿ø°Ý ¼¹ö·ÎºÎÅÍ ±¸¼º ¸Å°³º¯¼ö¸¦ ¿äûÇÏ°í ¡â¾Ç¼º ¼ºñ½º¸¦ ½ÃÀÛÇÏ°í ¡â¾ÖÇø®ÄÉÀÌ¼Ç ¾ÆÀÌÄÜÀ» ¼û±â°í ¡âIP ÁÖ¼Ò, ¿¬¶ôó, SMS/MMS ¸Þ½ÃÁö, ¼³Ä¡µÈ ¾ÖÇø®ÄÉÀ̼Ç/°èÁ¤°ú °°Àº ÀåÄ¡ Á¤º¸¸¦ ¼öÁýÇÑ´Ù. ¶ÇÇÑ ¼û´Ïº¿Àº º¼·ý ·¹º§À» Á¶ÀÛÇÏ°í ÇÇÇØÀÚÀÇ ¿¬¶ôó ¸ñ·ÏÀ» º¸³½´Ù. google[.]kt9[.]site ¹× dbdb[.]addea[.]workers[.]dev¿Í °°Àº µµ¸ÞÀÎÀ» ÅëÇØ C&C(¸í·É ¹× Á¦¾î) Åë½ÅÀ» ¼³Á¤ÇÑ´Ù.
¼û´Ïº¿Àº ¼³Ä¡¿Í µ¿½Ã¿¡ ¿ø°Ý ¼¹ö¿¡¼ ±¸¼º ¸Å°³º¯¼ö¸¦ ¿äûÇÏ°í ¾Ç¼º ¼ºñ½º¸¦ ½ÃÀÛÀ̸ç ÇÇÇØÀÚÀÇ µð¹ÙÀ̽º¿¡¼ ´ÙÀ½ ÀÛ¾÷À» ¼öÇàÇÑ´Ù.
- ¾ÖÇø®ÄÉÀÌ¼Ç ·±Ã³¿¡¼ ÀÚ½ÅÀÇ È°µ¿À» ¼û±ä´Ù.
- ¹èÅ͸® Àý¾à Á¶Ä¡ÀÇ Á¦ÇÑÀ» ¹ÞÁö ¾Ê°í ¹é±×¶ó¿îµå¿¡¼ ½ÇÇàµÇµµ·Ï ¹èÅ͸® ÃÖÀûȸ¦ ºñÈ°¼ºÈÇÑ´Ù.
- Àåºñ¿¡ ¼³Ä¡µÈ ¸ðµç ¾ÖÇø®ÄÉÀ̼ÇÀ» ¿°ÅÇÑ´Ù.
- CPU Á¤º¸¸¦ °Ë»öÇÏ°í ¾Ë·ÁÁø Qemu ÆÄÀÌÇÁ¸¦ È®ÀÎÇϸç, ¿¡¹Ä·¹ÀÌÅÍ ¿©ºÎ ¹× µð¹ö°Å¸¦ °¨Áö È®ÀÎÇÑ´Ù.
- µð¹ÙÀ̽º¿¡ ÀúÀåµÈ °èÁ¤ Á¤º¸¸¦ ¼öÁýÇÑ´Ù.
- µð¹ÙÀ̽º¿¡ ÀúÀåµÈ ¿¬¶ôó¿¡ ¾×¼¼½ºÇÑ´Ù.
- SD Ä«µå¿Í °°Àº µð¹ÙÀ̽ºÀÇ ¿ÜºÎ ¹Ìµð¾î¿¡ ÀúÀåµÈ À̹ÌÁö¿¡ ¾×¼¼½ºÇÑ´Ù.
- MMS ¸Þ½ÃÁö ³»¿ë¿¡ ¾×¼¼½ºÇÑ´Ù.
- ±â±â°¡ ÀýÀü ¸ðµå·Î ÀüȯµÇ´Â °ÍÀ» ¹æÁöÇϱâ À§ÇØ ¡®Wake Lock¡¯ ±â´ÉÀ» È°¼ºÈÇÑ´Ù.
- ÀåÄ¡ÀÇ IP ÁÖ¼Ò¸¦ °Ë»öÇϱâ À§ÇØ https[:]//www[.]cloudflare[.]com/cdn-cgi/trace/ip URL·Î HTTP GET ¿äûÀ» º¸³½´Ù.
- https[:]//i[.]imgur[.]com/D9wSCDs[.]png URL·Î HTTP GET ¿äûÀ» º¸³»¸ç, ÀÛ¼º ½Ã ¿À·ù ¸Þ½ÃÁö¸¦ Ç¥½ÃÇÑ´Ù.
- µµ¸ÞÀÎ google[.]kt9[.]site·Î HTTP GET ¹× POST ¿äûÀ» Àü¼ÛÇϸç, Á¢¼Ó½Ã URL https[:]//www[.]google[.]comÀ¸·Î ¸®µð·º¼ÇµÈ´Ù.
- Á¢¼Ó ½Ã ¡®Response for naver[.]com¡¯À̶ó´Â ¸Þ½ÃÁö¸¦ Ç¥½ÃÇÏ´Â URL https[:]//dbdb[.]addea[.]workers[.]dev/update·Î HTTP POST ¿äûÀ» º¸³½´Ù.
- ÇÇÇØÀÚÀÇ ±â±â¿¡ »õ·Î¿î ¿¬¶ôó Á¤º¸¸¦ Ãß°¡ÇÑ´Ù.
- À§Çù ÇàÀ§ÀÚ°¡ ÇÇÇØÀÚÀÇ ¿Â¶óÀÎ ¹ðÅ· °èÁ¤À» ÀÎÁõÇÏ°í ¾×¼¼½ºÇÏ´Â µ¥ »ç¿ëÇÒ ¼ö ÀÖ´Â Çѱ¹ÀºÇàµéÀÌ ¹ß±ÞÇÑ µðÁöÅÐ ÀÎÁõ¼¿Í ¹ðÅ· Å°¸¦ °Ë»öÇÑ´Ù.
- ¼öÁýÇÑ µ¥ÀÌÅ͸¦ 15Ãʸ¶´Ù ¸í·É ¹× Á¦¾î(C2) ¼¹ö·Î Áö¼ÓÀûÀ¸·Î Àü¼ÛÇÑ´Ù.
- ¸Þ½ÃÁö Å¥ ¿ø°Ý ÃøÁ¤ Àü¼Û(MQTT) ¸Þ½ÃÁö¸¦ ÅëÇØ C2 ¼¹ö¿Í Åë½ÅÇÑ´Ù.
ÇÑÆí, À̹ø ¼û´Ïº¿°ú °ü·ÃÇÑ ÀÚ¼¼ÇÑ ³»¿ëÀº ¿¡½ºÄɾ ¹®ÀÇÇÏ¸é µÈ´Ù.
[¿øº´Ã¶ ±âÀÚ(boanone@boannews.com)]
<ÀúÀÛ±ÇÀÚ: º¸¾È´º½º(www.boannews.com) ¹«´ÜÀüÀç-Àç¹èÆ÷±ÝÁö>