AIRASHI 봇넷

Cambium Networks의 cnPilot 라우터의 제로데이 취약점은 AIRASHI라는 AISURU 봇넷 변형을 배포하는 사이버 범죄자들의 최신 도구가 되었습니다. 2024년 6월부터 활동 중인 이 캠페인은 이 결함을 악용하여 강력한 분산 서비스 거부(DDoS) 공격을 조직합니다. 보안 연구원들은 조사가 진행되는 동안 오용을 제한하기 위해 취약점에 대한 구체적인 내용을 공개하지 않았습니다.

악용된 취약점의 역사

AIRASHI 봇넷은 단일 공격 벡터에 국한되지 않습니다. CVE-2013-3307, CVE-2016-20016, CVE-2017-5259, CVE-2018-14558, CVE-2020-25499, CVE-2020-8515, CVE-2022-3573, CVE-2022-40005, CVE-2022-44149, CVE-2023-287 및 AVTECH IP 카메라, LILIN DVR 및 Shenzhen TVT 장치에서 발견된 기타 결함을 포함한 일련의 취약점을 무기화합니다. 이러한 광범위한 취약점을 악용하여 AIRASHI는 계속해서 도달 범위와 정교함을 키우고 있습니다.

DDoS 공격 기능: 자세히 살펴보기

AIRASHI의 운영자들은 자신의 활동에 대해 부끄러워하지 않으며, 텔레그램에 봇넷의 DDoS 기능에 대한 테스트 결과를 게시했습니다. 과거 데이터에 따르면 공격 용량은 약 1-3 Tbps로 안정화되었습니다. 지리적으로 가장 많이 침해된 기기는 브라질, 러시아, 베트남, 인도네시아에 있습니다. 그러나 대상은 중국, 미국, 폴란드, 러시아와 같이 봇넷의 유해한 운영으로 가장 큰 혼란을 야기한 지역에 집중되어 있습니다.

AISURU에서 AIRASHI로의 진화

AIRASHI는 2024년 8월 Steam에 대한 대규모 DDoS 공격 중에 이전에 식별된 AISURU 봇넷에서 비롯되었으며, 이는 게임 Black Myth: Wukong의 출시와 일치했습니다. 2024년 9월에 일시적으로 운영을 중단한 후, 봇넷은 "kitty"라는 코드명의 업데이트된 기능과 함께 다시 나타났고 11월까지 AIRASHI로 더욱 개편되었습니다.

이중 목적 봇넷: AIRASHI-DDoS 및 AIRASHI-Proxy

AIRASHI는 두 가지 형태로 운영됩니다.

• AIRASHI-DDoS : 2024년 10월 말에 발견된 이 변종은 DDoS 공격에 중점을 두지만 임의 명령 실행 및 역방향 셸 접근을 포함하도록 기능이 확장되었습니다.
• AIRASHI-Proxy : 2024년 12월에 공개될 이 변형은 프록시 기능을 추가하여 DDoS 작전을 넘어 다양한 서비스를 제공할 것임을 시사합니다.

통신 및 암호화 발전

안전하고 효율적인 운영을 보장하기 위해 AIRASHI는 HMAC-SHA256 및 CHACHA20 암호화 알고리즘을 활용하는 새로운 네트워크 프로토콜을 사용합니다. AIRASHI-DDoS는 13가지 고유한 메시지 유형을 지원하는 반면, AIRASHI-Proxy는 5가지로 더 간소화된 접근 방식을 사용합니다. 또한, 봇넷은 DNS 쿼리를 통해 명령 및 제어(C2) 서버 세부 정보를 검색하기 위해 동적으로 방법을 조정합니다.

봇넷과 IoT 장치: 지속적인 사이버 위협

이 조사 결과는 사이버 범죄자들이 IoT 기기의 취약성을 지속적으로 악용한다는 것을 보여줍니다. IoT 기기는 악의적인 행위자의 진입점이자 강력한 봇넷을 구축하기 위한 기반 역할을 합니다. 이러한 침해된 기기를 활용함으로써 위협 행위자는 DDoS 공격의 힘을 증폭시켜 IoT 생태계에서 향상된 기기 보안이 절실히 필요하다는 것을 보여줍니다.