미라이의 가장 최신 변종 무카시, 자이젤의 NAS 공략 중

자이젤에서 얼마 전에 발표한 취약점, CVE-2020-9054...익스플로잇 이미 등장
미라이와 여러 면에서 흡사한 변종 무카시...IoT 봇넷 확장하고 디도스도 가능

[보안뉴스 문가용 기자] 악명 높은 멀웨어인 미라이(Mirai)의 또 다른 변종이 나타났다. 미라이는 사물인터넷 장비들만을 노리는 것으로 유명한데, 이번 변종은 자이젤(Zyxel)에서 만든 네트워크 스토리지(NAS) 제품들을 집중적으로 공략하는 것으로 알려졌다. 자이젤 제품에서 최근 발견된 취약점을 통해서다.

[이미지 = iclickart]

자이젤은 지난 달 NAS와 방화벽 제품 일부에서 치명적인 취약점이 발견됐다고 고객에게 알린 바 있다. 이 취약점은 CVE-2020-9054로, 익스플로잇이 될 경우 원격의 승인되지 않은 공격자가 임의의 코드를 실행할 수 있게 된다.

그러면서 자이젤은 펌웨어 업데이트를 발표했다. 해당 취약점의 익스플로잇은 이미 취약점 정보가 공개되기 전부터 사이버 범죄자들의 암시장에서 거래되고 있었다는 소식도 함께였다. 일각에서는 이모텟(Emotet)이라는 악명 높은 뱅킹 트로이목마의 배후에 있는 자들이 이 익스플로잇과 관련이 있다는 보고서가 나오기도 했다.

배경이야 어찌됐든 중요한 건 익스플로잇이 나타났다는 것이다. 사이버 범죄자들은 CVE-2020-9054를 적극 익스플로잇 하기 시작했다. 보안 업체 팔로알토 네트웍스(Palo Alto Networks)는 자이젤(Zyxel) 장비를 겨냥한 실제 공격을 3월 12일에 처음 발견해 알렸다. 공식 발표된 사례로는 이것이 처음이다.

팔로알토 네트웍스는 당시 이 공격에 대해 알리며 “무카시(Mukashi)라는 이름의 미라이 변종이 전파되고 있다”고 경고했다. 감염이 성공적으로 진행될 경우 무카시는 브루트포스 공격을 진행해 같은 네트워크에 있는 사물인터넷 장비들을 하나하나 장악한다. 미라이의 방식과 흡사하다.

무카시는 장비에 올라타고 나서 TCP 포트 23번을 탐색한다. 그런 후 다양한 크리덴셜 조합을 사용해 다른 시스템에 접근하려는 시도를 이어간다. 하지만 공격자들이 멀웨어에 전달하는 악성 행위나 명령이 무엇이냐에 따라 다른 공격도 실시할 수 있다. 가장 대표적인 게 디도스 공격이다.

“무카시는 실행이 됨과 동시에 화면에 ‘장비를 감염으로부터 보호하고 있습니다’라는 경고 메시지를 띄웁니다. 그런 후에 프로세스 이름을 dvrhelper라고 변경합니다. 이 역시 미라이에서 나타나는 특징 중 하나이기도 합니다. 무카시 공격자들이 미라이로부터 많은 것을 차용한 것이 분명해 보입니다.” 팔로알토가 블로그를 통해 밝힌 내용이다.

3줄 요약
1. 미라이의 또 다른 변종 무카시 등장.
2. 현재 무카시는 자이젤에서 만든 NAS 장비를 집중적으로 공략 중.
3. 봇넷에 편입시키는 기능 외에 디도스 공격 기능도 가지고 있음.
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]

최근 발생한 크라우드 스트라이크의 보안 SW 업데이트 오류 사태처럼 SW 공급망에 보안이슈가 발생할 경우 관련된 각종 시스템 및 IT 인프라 마비가 일어날 수 있다는 게 드러났습니다. 이러한 공급망 보안을 위협하는 가장 큰 요인은 무엇이라고 생각하시나요?
	랜섬웨어, 피싱 등의 사이버 공격
	SW 업데이트 및 SW 교체 과정에서의 오류
	SW 자체에 존재하는 보안 취약점
	시스템 관리자의 운영상 실수 및 관리 미흡
	기타(댓글로)