다중 라이센스 할인 견적
위협 데이터베이스 봇넷 Kimwolf Botnet

Kimwolf Botnet

봇넷년에 Mezo 년까지
번역 :

사이버 보안 전문가들이 180만 대 이상의 기기를 감염시킨 대규모 분산 서비스 거부(DDoS) 공격 봇넷인 '킴울프(Kimwolf)'를 발견했습니다. 감염된 기기에는 안드로이드 기반 TV, 셋톱박스, 태블릿 등이 포함됩니다. 초기 조사 결과, 이 봇넷이 악명 높은 AISURU 봇넷과 연관이 있을 가능성이 제기되고 있습니다. 이번 발견은 사물인터넷(IoT) 기기를 겨냥한 악성코드가 점점 더 정교해지고 있음을 보여주며, 연결된 기기 보호에 대한 경각심의 중요성을 강조합니다.

킴울프의 해부학

Kimwolf는 네이티브 개발 키트(NDK)를 사용하여 구축되었으며 기존의 DDoS 공격을 뛰어넘는 다양한 기능을 결합합니다. 주요 기능은 다음과 같습니다.

  • 프록시 포워딩
  • 역방향 셸 액세스
  • 파일 관리 기능

봇넷의 악성 소프트웨어는 장치당 하나의 프로세스를 실행하고, 내장된 명령 및 제어(C2) 도메인을 복호화하고, DNS-over-TLS를 사용하여 C2 IP를 확인하고, 운영자로부터 수신한 명령을 실행하도록 설계되었습니다.

기록적인 규모와 활동

킴울프는 2025년 11월 19일부터 22일까지 단 3일 만에 17억 건의 DDoS 공격 명령을 내린 것으로 알려졌습니다. 킴울프의 C2 도메인 중 하나인 14emeliaterracewestroxburyma02132[.]su는 한때 클라우드플레어의 상위 100개 도메인에 진입하여 구글을 일시적으로 앞지르기도 했습니다.

주요 감염 대상에는 다음과 같은 가정용 TV 셋톱박스가 포함됩니다.

  • TV BOX, SuperBOX, HiDPTAndroid
  • P200, X96Q, 엑스박스, 스마트TV, MX10

지리적으로 감염은 브라질, 인도, 미국, 아르헨티나, 남아프리카공화국, 필리핀에 집중되어 있지만 정확한 전파 경로는 아직 불분명합니다.

진화와 회복력

Kimwolf는 뛰어난 적응력을 보여줍니다. 2025년 12월에만 최소 세 차례 C2 도메인이 차단되자 운영진은 인프라 강화를 위해 이더리움 네임 서비스(ENS) 도메인을 도입했습니다. 최근 버전의 멀웨어에는 스마트 계약을 통해 실제 C2 IP 주소를 가져와 XOR 연산을 통해 변환하는 EtherHiding 기법이 포함되어 있어 차단이 훨씬 어려워졌습니다.

AISURU 및 공유 인프라 연결

증거에 따르면 킴울프는 기록적인 DDoS 공격으로 악명 높은 AISURU 봇넷과 연관되어 있습니다.

  • 두 봇넷은 2025년 9월부터 11월까지 동일한 감염된 기기에서 공존했습니다.
  • APK 패키지와 코드 서명 인증서('John Dinglebert Dinglenut VIII VanSack Smith')의 유사성은 공통된 개발 출처를 시사합니다.
  • 다운로더 서버(93.95.112[.]59)는 Kimwolf 및 AISURU APK를 모두 참조하는 스크립트가 존재함을 확인했습니다.

이러한 관계는 단일 해커 그룹이 도달 범위를 극대화하고 탐지를 피하기 위해 두 개의 봇넷을 모두 운영하고 있을 가능성을 시사합니다.

공격 능력 및 수익 창출

Kimwolf는 UDP, TCP 및 ICMP를 통해 13가지의 서로 다른 DDoS 공격 방식을 지원하며, 미국, 중국, 프랑스, 독일, 캐나다 등을 대상으로 공격합니다. 흥미로운 점은 실행된 명령의 96% 이상이 감염된 노드를 프록시 서비스로 활용하도록 지시되어 있다는 사실로, 강력한 수익 창출 동기를 시사합니다.

해킹된 기기에 추가로 배포되는 구성 요소는 다음과 같습니다.

  • Rust 기반 명령 클라이언트 - 프록시 네트워크 구축
  • ByteConnect SDK – 개발자와 기기 소유자를 위해 IoT 트래픽을 수익화합니다.
  • TLS 암호화는 모든 통신을 보호하며, C2 서버 및 DNS 확인자에 대한 민감한 데이터 또한 암호화되어 운영상의 은밀성을 높입니다.

거대 봇넷의 더 넓은 맥락

2016년 Mirai가 등장한 이후 거대 IoT 봇넷은 크게 진화했습니다. 초기 버전은 주로 광대역 라우터와 카메라를 표적으로 삼았지만, Badbox, Bigpanzi, Vo1d, Kimwolf와 같은 최신 봇넷은 스마트 TV와 TV 박스를 점점 더 집중 공격하고 있으며, 이는 공격자들이 고대역폭 소비자 기기에 관심을 돌리고 있음을 반영합니다.

트렌드

Webmotion.co.in

불량 웹사이트, 애드웨어, 브라우저 하이재커
웹을 탐색할 때는 항상 경계를 늦추지 않는 것이 중요합니다. 사기성 사이트와 공격적인 광고 수법이 끊임없이 진화하고 있기 때문입니다. 악의적인 공격자들은 합법적인 기능을 모방한 페이지를 만들어 사용자를 위험한 행동으로 유인하고, 몰래 원치 않는 콘텐츠를 유포합니다. Webmotion.co.in은 바로 그러한 도메인 중 하나로, 방문자를 속여 유해한...

EtherRAT 멀웨어

원격 관리 도구, 지능형 지속 위협(APT)
최근 북한 해커들과 연관된 것으로 밝혀진 위협 캠페인이 React2Shell(RSC)의 심각한 취약점을 악용하여 이전에는 볼 수 없었던 원격 접속 트로이목마인 EtherRAT을 배포하는 것으로 추정됩니다. 이 악성코드는 이더리움 스마트 계약을 명령 및 제어(C2) 워크플로에 통합하고, Linux에 여러 지속성 계층을 설치하며, 배포 시 자체...

News-hedebe.cc

애드웨어
인터넷은 편리함으로 가득하지만, 의심하지 않는 사용자를 악용하는 사기성 웹사이트도 존재합니다. 이러한 악성 페이지 중 하나인 News-hedebe.cc는 사이버 보안 연구원들에 의해 침입성 브라우저 알림과 잠재적으로 유해한 리디렉션의 원인으로 확인되었습니다. 사기, 악성 코드, 그리고 개인정보 침해에 노출되는 것을 방지하려면 인터넷 사용 시 항상...

가장 많이 본

'프린터 드라이버를 사용할 수 없음'오류를 수정하는 방법

문제
47,839
프린터는 사용자가 가장 필요로 할 때마다 작업을 거부하는 것으로 유명합니다. 다행히 프린터에 프린터 드라이버를 사용할 수 없음' 오류가 표시되는 경우 문제를 해결할 수 있는 몇 가지 쉬운 솔루션이 있습니다. 이 특정 오류는 손상된 드라이버 파일, 오래된 드라이버 또는 드라이버 비호환성으로 인해 발생할 수 있습니다. Microsoft의 일반 드라이버를...

Discord가 회색 화면에 멈춤

문제
37,838
때때로 Discord 응용 프로그램을 사용하는 동안 사용자가 회색 화면에서 멈출 수 있습니다. 스트리밍 또는 단순히 응용 프로그램을 로드하는 동안 문제가 발생할 수 있습니다. 이 문제가 발생하고 해결 방법이 궁금하다면 다음 해결 방법을 시도해 보십시오. 화면 모드 간 전환 원인이 시각적 결함이고 더 심각한 것이 아닌 경우 전체 화면 모드 또는 더 작은...
화면을 공유 할 때 Discord에 검은 색 화면이 표시됨 스크린샷

화면을 공유 할 때 Discord에 검은 색 화면이 표시됨

문제
36,449
처음 출시되었을 때 Discord는 게임 커뮤니티를 위한 VoIP 플랫폼이었습니다. 그러나 그 후 몇 년 동안 범위를 확장하고 수많은 새로운 기능을 추가했으며 월간 활성 사용자가 1억 4천만 명이 넘는 가장 큰 소셜 플랫폼 중 하나가 되었습니다. 현재 사용자는 개인 인스턴트 메시지를 보내고, VoIP 및 화상 통화를 시작하고, 컴퓨터 화면을...
로드 중...