공격 주로 아르헨티나서 이뤄져...자이젤 기기에 집중된 듯
디폴트 크리덴셜 노리는 멀웨어...이번에는 두 개 더 추가

[보안뉴스 문가용 기자] 중국의 보안 업체 치후 360(Qihoo 360) 사물인터넷 봇넷 멀웨어인 미라이(Mirai)의 변종을 발견했다. 이번에 발견된 변종 역시 지난 번 미라이처럼 사물인터넷 기기들의 디폴트 크리덴셜을 노리는 것으로 나타났다. 다만 자이젤(ZyXEL) 장비들을 집중적으로 겨냥하고 있다는 차이점이 존재한다.


원래 미라이는 2016년 말에 등장해 한 달 만에 세계 164개국으로 퍼져나간 멀웨어로 사물인터넷 기기들만 활용해 봇넷을 구성하고, 이를 통하여 폭발적인 트래픽을 생성해 디도스 공격을 일으킨다. 심지어 소스코드가 오픈소스처럼 공개되기도 해서 해커들의 높은 관심을 받았고, 변종이 예고된 바 있다.

그리고 올해 8월 미라이를 계속해서 연구해온 보안 업체 아카마이(Akamai)는 “미라이 봇넷이 봇들과 C&C 서버들로 구성되어 있으며, 일부는 디도스 공격 외 다른 용도로도 활용될 수 있다”고 설명했다. 즉 미라이 봇넷을 그저 디도스 공격으로만 연관 지어서는 안 된다는 것인데, 흔히 봇넷은 랜섬웨어 등의 배포나 스팸 공격에도 활용되고, 봇넷을 보유하지 못한 타 사이버 공격자들이 유료로 대여하기도 한다. 아카마이는 미라이의 서버들 중 하나가 유료로 대여된 것을 직접 발견하기도 했다.

치후 360은 지난 주부터 포트 2323과 23에을 스캐닝 하는 트래픽이 급증했다는 사실을 눈치 챘다. 보자마자 미라이라는 생각이 들었고 추적하기 시작했다. 그러면서 이번 공격이 자이젤 장비들에서만 발견된다는 것도 추가로 파악할 수 있었다. “지난 번 미라이도 사물인터넷 기기를 장악할 때 디폴트 크리덴셜을 대입했는데, 이번 미라이도 마찬가지였습니다. 대신 디폴트 크리덴셜을 두 개 더 추가해서 공격하더군요.”

치후 360이 말하는 두 가지 추가 크리덴셜은 admin / CentryL1nk와 admin / QwestM0dem이다. 그 중에서도 admin / CentryL1nk의 경우는 한 달 전쯤 자이젤 PK5001Z 모뎀을 겨냥한 익스플로잇이라고, 익스플로잇 데이터베이스 서비스인 exploit-db에 소개된 바 있다. admin / QwestM0dem을 장착한 공격은 11월 22일부터 발견됐는데, 둘 다 2323번과 23번 포트를 스캐닝한다는 공통점 등이 있어 두 버전을 하나로 분류했다.

스캔을 실시하는 IP 주소는 대부분 아르헨티나에 집중되어 있는 것으로 나타났다. 약 3일 간 10만 개 이상의 IP 주소에서 스캔 활동이 이뤄졌으며, 치후 360은 이러한 현상을 바탕으로 “아르헨티나에서 사용되고 있는 특정 기기만을 노린 공격이 진행되고 있다”고 결론을 내렸다.

이번에 발견된 변종은 미라이의 첫 번째 변종 중 하나인 페르시라이(Persirai)와는 다른 것으로 보인다.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>