• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

캣디도스, 잠시 사라지나 했더니 최근 들어 급증하고 있는 위협 2024.05.29

지난 3개월 동안 캣디도스 공격자들의 활동량이 크게 늘어났다. 무려 80개가 넘는 취약점들을 익스플로잇 하며 전 세계 곳곳의 장비들을 감염시키는 중이다. ‘그깟 디도스’라고 우습게 볼 게 아니다.

[보안뉴스 문가용 기자] 최근 수상한 디도스 관련 악성 행위가 급증하고 있다는 경고가 나오기 시작했다. 미라이(Mirai) 봇넷을 기반으로 한 새로운 멀웨어가 빠르게 퍼지고 있다고 한다. 미라이의 최신 변종이기도 한 이 멀웨어에는 캣디도스(CatDDoS)라는 이름이 붙었다.

[이미지 = gettyimagesbank]


현재 캣디도스에 의해 여러 지역의 조직들이 피해를 입고 있는 것으로 알려져 있다. 미국, 프랑스, 독일, 브라질, 중국의 통신사, 건설사, 과학 연구 기관, 교육 기관 등이 골고루 피해자 명단에 이름을 올리는 중이다. 따라서 많은 주의가 요구된다.

다양한 변종들
캣디도스가 처음 모습을 드러낸 건 지난 해 8월의 일이다. 그리고 9월 즈음에는 꽤나 높은 순위의 경계 대상이 됐다. 하지만 12월에 가서는 사라지다시피 했고, 따라서 캣디도스를 쫓던 보안 연구원들은 운영자들이 캣디도스를 포기했다고 여겼다.

하지만 이번 주 여러 사이버 범죄 조직이 캣디도스를 사용하기 시작했다는 내용의 보고서가 새롭게 발표됐다. 특히 지난 3개월 동안 이런 활동이 집중적으로 발견됐다고 한다. 그래서 여러 보안 전문가와 업체들이 각기 추적하고 있는데, 업체에 따라 캣디도스를 리버스LTD(RebirthLTD), 코마루(Komaru), 세실리오네트워크(Cecilio Network) 등으로 부른다. 최소 80개 이상의 취약점을 익스플로잇 한 것으로 분석됐다.

캣디도스의 감염 속도는 매우 빠른 편이다. 현재까지 하루 300대 이상이 이 캣디도스에 감여되고 있다고 한다. 많은 취약점을 익스플로잇 하기 때문에 감염 속도도 빠른 것으로 추정된다. 잦은 익스플로잇에 노출되고 있는 제품 및 소프트웨어들은 아파치 액티브엠큐(Apache ActiveMQ), 아파치 로그4j(Apache Log4j), 시스코 링크시스(Cisco Linksys), 젠킨스(Jenkins) 서버들, 넷기어(NetGear) 라우터들이다.

캣디도스가 익스플로잇 하는 취약점들 중 대부분은 지난 1년 사이에 발견된 것들이다. 물론 오래된 것들도 있지만 수가 그리 많지는 않다. 오래된 취약점들은 다음과 같다.
1) CVE-2010-2506 : 링크시스 펌웨어
2) CVE-2013-1599 : 디링크(D-Link) IP 카메라
3) CVE-2011-5010 : 시텍(Ctek) 스카이라우터(SkyRouter)

아직 캣디도스 공격자들이 익스플로잇 하는 모든 취약점들이 낱낱이 밝혀진 건 아니다. 전문가들도 처음 보는 취약점들도 있다고 하는데, 그렇기 때문에 공격자들이 제로데이 취약점을 최근 찾아내 이번 캠페인에 활용하고 있을 가능성도 제기되고 있다.

여러 그룹에서 각기 목적과 방법에 따라 캐디도스를 사용하고 있는데, 현재까지 발견된 샘플들 사이에는 커다란 차이가 없는 것으로 분석되고 있기도 하다. 즉 누군가 여러 공격 조직에 캣디도스 샘플을 제공 혹은 판매하고 있다고 의심할 수 있다.

디도스, 간과할 수 없는 위협
디도스 멀웨어나 디도스 공격용 봇넷 멀웨어는 전 세계 모든 조직들에 커다란 위협이다. 대다수 기업이나 기관들은 기본적인 디도스 방어 능력을 갖추고 있긴 하지만 디도스 공격자들이라고 기존 기술과 전략만을 고수하는 것도 아니다. 늘 새롭고 강력한 디도스 공격 기법이 등장하기 때문에 주기적으로 디도스 방어 능력을 강화할 필요가 있다. 캣디도스와 관련하여서는 취약점 관리가 곧 디도스 방어 능력 강화 전략이 된다.

2023년에는 디도스 공격의 빈도가 55%나 떨어졌다. 하지만 각 공격의 강도는 무척이나 높아졌다. 한 회의 공격의 트래픽 양이 2022년에 비해 233%나 증가한 것이다. 횟수가 줄어들었다고 좋아할 일이 아니었다. 이는 NTP 증폭(NTP Amplification)이라는 기법이 공격자들 사이에서 퍼졌기 때문에 나타난 현상으로 분석되고 있다. 새로운 기법이 보편화 된다면 강력한 공격이 훨씬 많아질 가능성도 높아진다. 작년에 NTP가 유행하기 시작했으니 2024년이 그런 해가 될 가능성이 높다.

3줄 요약
1. 작년 12월부터 사라진 것처럼 보였던 디도스 멀웨어, 캣디도스.
2. 그런데 3개월 전부터 갑자기 등장해 활동량 급증.
3. 80개 넘는 취약점을 익스플로잇 하기 때문에 취약점 관리가 시급.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>