또 미라이 변종 발견! SOAP 프로토콜과 라우터 공격한다

미라이, 사토리, 마수타로 이어지는 사물인터넷 봇넷 멀웨어
오래된 라우터 내 SOAP 프로토콜 취약점 노려

[보안뉴스 문가용 기자] 미라이(Mirai)이 기초한 새로운 사물인터넷 봇넷 멀웨어가 또 등장했다. 이름은 마수타(Masuta)로 최근 두 가지 버전이 공존하는 것으로 파악되고 있다. 또한 오래된 라우터 취약점을 익스플로잇한다고 알려져 있다. 이는 보안 업체 뉴스카이 시큐리티(NewSky Security)가 파악해낸 내용이다.

[이미지 = iclickart]

마수타의 소스코드는 현재 다크웹에 ‘초대받은 일부’에게만 공개되어 있는 상태로, 이를 손에 넣는 데 성공한 뉴스카이의 전문가들은 분석을 통해 미라이와의 유사점과 차이점을 찾아냈다. 또한 마수타보다 조금 더 전에 발견된 미라이의 또 다른 변종, 사토리(Satori)와 연루된 인물인 넥서스 제타(Nuxus Zeta)가 사용하고 있던 도메인의 이름도 발견할 수 있었다.

뉴스카이는 자연스럽게 “미라이의 변종들을 만들어내는 데에 있어 넥서스 제타라는 인물이 적극 관여하고 있는 것으로 보인다”는 결론에 도달했다. 미라이와 사토리는 요 몇 개월 간 사물인터넷 기기들을 좀비로 만들고 있다. 여기에 마수타까지 가세한 상황.

사실 마수타 멀웨어 자체가 이번에 새롭게 발견된 건 아니다. 마수타가 벌이고 있는 공격 캠페인 자체는 지난 9월부터 목격됐다. 그러므로 소스코드 분석을 통해 미라이와의 연관성이 발견된 것이 이번 뉴스카이 보고서의 가장 주요한 내용이다.

마수타의 또 다른 버전의 이름은 퓨어마수타(PureMasuta)다. 퓨어마수타는 마수타보다 더 미라이를 닮았다고 전문가들은 말한다. 미라이처럼 마수타와 퓨어마수타 전부 쉬운 비밀번호 혹은 디폴트 크리덴셜을 사물인터넷 기기들에 대입함으로써 장악을 시작한다. 마수타와 퓨어마수타가 미라이와 다른 점은 EDB 38722 D-Link의 취약점을 익스플로잇 한다는 것이다.

퓨어마수타 멀웨어가 익스플로잇하는 취약점은 HNAP라는 프로토콜(Home Network Administration Protocol) 내에 위치하고 있으며 SOAP라는 또 다른 프로토콜(Simple Object Access Protocol)을 기반으로 하고 있다. 특정 도메인(hxxp://purenetworks.com/HNAP1/GetDeviceSettings)을 사용하여 인증 과정을 우회하는 SOAP 쿼리를 만듦으로써 최종적으로는 임의의 코드를 실행하는 것이다.

마수타와 퓨어마수타는 둘 다 같은 C&C 서버(93.174.93.63)를 사용한다. 이러한 점도 “역시 같은 단체나 인물이 이 멀웨어를 만들었다고 생각게 하는 단서”라고 뉴스카이는 말한다. “SOAP과 관련된 익스플로잇을 활용한다는 측면에 있어서 넥서스 제타라는 인물은 초보가 아닙니다. 이미 사토리 봇넷을 통해 CVE-2014-8361과 CVE-2017-17215라는 SOAP 관련 취약점을 익스플로잇 한 전적이 있죠.”

이번에 발견된 마수타와 퓨어마수타가 익스플로잇 했던 것 역시 SOAP와 관련된 취약점이므로, 넥서스 제타라는 인물은 미라이 변종들을 통해 SOAP만 네 차례 공략한 것이다. “프로토콜의 취약점을 익스플로잇 하는 것은 사이버 공격자들이라면 누구나 해보고 싶어 하는 겁니다. 성공할 때 할 수 있는 일이 많아지거든요.”

프로토콜은 다양한 제조사들이 ‘알아서 해석하고 알아서 구성하는 것’이 보통이다. 이러한 부분에서 오류가 발생할 수도 있고, 프로토콜 자체에 있는 오류는 이미 걷잡을 수 없이 퍼져나가 여러 시스템에 영향을 끼칠 수도 있다. “프로토콜을 노리는 사물인터넷 멀웨어라니, 그 영향력이 점차 더 막강해질 것으로 보입니다. 넥서스 제타도 더 발전된 무기를 들고 나타날 가능성도 높고요.” 뉴스카이의 결론이다.
[국제부 문가용 기자(globoan@boannews.com)]

내년 회사에 꼭 도입하고 싶은 보안 솔루션 또는 플랫폼은 무엇인가요?
	XDR
	EDR
	AI 보안
	제로트러스트
	공급망 보안 체계(SBOM)
	클라우드 보안 솔루션
	기타(댓글로)