4월 초에 새롭게 공개된 봇넷 멀웨어 혹스콜즈...얼마 지나지 않아 강력하게 변모
공격자들의 멀웨어 업그레이드 속도 점점 빨라져...암시장의 산업화가 가진 위협

[보안뉴스 문가용 기자] 사물인터넷 봇넷 중 혹스콜즈(Hoaxcalls)라는 것이 있다. 최근 이 혹스콜즈의 운영자들이 공격 대상이 될 수 있는 장비들의 가짓수를 늘렸다고 보안 업체 라드웨어(Radware)가 발표했다. 공격이 광범위해진 것이다.


혹스콜즈 봇넷이 제일 먼저 세상에 상세히 공개된 것은 4월 초의 일이다. 쓰나미(Tsunami)와 가프짓(Gafgyt)이라는 기존 봇넷들의 소스코드를 바탕으로 만들어졌으며, 그랜드스트림(Grandstream) UCM6200 제품군의 취약점인 CVE-2020-5722와 드레이텍 비고르(Draytek Vigor) 라우터들에서 발견된 취약점인 CVE-2020-8515를 익스플로잇 하는 것으로 나타났었다.

혹스콜즈 봇넷의 주요 목표는 디도스 공격인데, 주로 UDP 플러딩, DNS 플러딩, HEX 플러딩 등의 기법을 사용한다. C&C 서버로부터 전달되는 명령에 따라 종류가 그 때 그 때 달라진다. 여기까지가 지난 번 보고서를 통해 공개된 내용이다.

그 후 몇 주 동안 혹스콜즈의 새 버전이 관찰되기 시작했다. 위에서 언급된 제조사들의 장비들에 더해 자이젤 클라우드 CNM 시큐매니저(ZyXEL Cloud CNM SecuManager)의 취약점까지 익스플로잇 한 것이다. 이 취약점은 자이젤 측이 패치를 발표했으나 아직 사용자들 차원에서 적용이 덜 되고 있다. 뿐만 아니라 16가지 새로운 디도스 공격 기법들도 추가됐다고 한다.

혹스콜즈의 업그레이드 현황에 대해서는 라드웨어의 연구 보고서(https://www.radware.com/workarea/downloadasset.aspx?ID=46096c31-c3e4-4ea3-a817-cae7556f8c62)를 통해 보다 상세히 열람할 수 있다. 라드웨어는 보고서를 통해 “이렇게 각종 기능과 공격 대상이 늘어난 버전이 몇 주 전만 해도 단일 서버로부터 퍼져나가고 있었는데, 현재는 75개가 넘는다”고 밝히기도 했다.

라드웨어에 따르면 이번에 발견된 새 샘플들은 “멀웨어 업그레이드가 얼마나 빠르게 이뤄지는지 그대로 보여준다”고 한다. “최초 발견일인 3월 31일과 4월 8일 사이, 즉 일주일 약간 넘는 기간 동안 디도스 공격 방법이 16가지나 덧붙었으니까요. 공격자들이 얼마나 집요하고 부지런히 작업하는지 알 수 있습니다.”

하지만 소식은 여기서 끝이 아니다. 4월 8일로부터 2주 정도가 지난 뒤 새로운 봇넷 멀웨어가 추가로 발견됐던 것이다. 라드웨어 측은 이 봇넷에 XTC라는 이름을 붙였다. XTC는 위 혹스콜즈가 가지고 있었던 디도스 공격 기법을 모두 보유하고 있었을 뿐만 아니라, 공격 표적이 더 많아지기도 했다.

혹스콜즈와 XTC 모두의 공격을 받게 된 자이젤은 이미 3월 초에 취약점들에 대한 패치를 발표한 바 있다. 당시 보안 전문가 피에르 킴(Pierre Kim)이라는 인물이 악의적 행위자들이 자이젤의 취약점들을 공격해 원격에서 코드를 실행하기 시작했다고 알린 직후에 취한 조치였다.

라드웨어는 “XTC와 혹스콜즈의 배후에 있는 자나 단체는 동일한 것으로 보인다”며 “다양한 익스플로잇을 조합해 여러 가지 디도스 공격을 구사할 줄 안다”고 경고했다. 그러면서 “취약점들을 찾아내 익스플로잇 하고, 이를 통해 디도스 공격을 실시하는 것에 특화된 모습을 보이고 있다”며 “계속해서 이 분야를 연구해 더욱 강력한 봇넷 멀웨어를 시장에 내놓을 것으로 보인다”고 결론을 내렸다.

3줄 요약
1. IoT 봇넷 멀웨어인 혹스콜즈, 최근 급격한 업그레이드 통해 강화됨.
2. 비슷하면서도 더 강력해진 봇넷 멀웨어 XTC도 얼마 전 발견됨.
3. 두 봇넷의 운영자는 동일하며, 디도스 공격에 특화되어 있는 것으로 추측됨.
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>