다중 라이센스 할인 견적
위협 데이터베이스 봇넷 Kimwolf Botnet Campaign

Kimwolf Botnet Campaign

봇넷년에 Mezo 년까지
번역 :

보안 연구원들이 가정용 프록시 네트워크를 악용하여 200만 대 이상의 기기를 감염시킨 대규모 안드로이드 봇넷인 '킴울프(Kimwolf)'를 발견했습니다. 이 악성 소프트웨어는 일반 소비자용 기기를 전 세계적인 공격 플랫폼으로 바꿔 악성 트래픽을 은밀하게 전송하고 대규모 분산 서비스 거부(DDoS) 공격을 가능하게 합니다. 관찰 결과 매주 약 1,200만 개의 고유 IP 주소가 감지되어 이 공격의 엄청난 규모를 보여줍니다.

기원, 진화 및 AISURU와의 연관성

킴울프는 2025년 12월 에 처음으로 공개적으로 분석되었으며, 당시 조사관들은 AISURU라는 또 다른 봇넷과 강력한 기술적 및 인프라적 연관성을 확인했습니다. 여러 증거에 따르면 킴울프는 적어도 2025년 8월부터 활동해 왔으며, AISURU의 안드로이드 기반 진화형으로 추정됩니다. 연구원들은 이 봇넷이 작년 말에 발생한 여러 차례의 기록적인 DDoS 공격에 사용된 것으로 보고 있습니다.

전 세계 감염 확산 추이 및 맞춤형 기기

킴울프는 전 세계적으로 활동하지만, 감염은 베트남, 브라질, 인도, 사우디아라비아에 집중되어 있습니다. 감염된 시스템 중 상당수는 비공식 안드로이드 스마트 TV와 셋톱박스이며, 이들 중 다수는 기본 설정이 보안에 취약한 상태로 출고됩니다.

연결된 기기 중 최소 67%가 인증되지 않은 Android Debug Bridge(ADB) 서비스를 노출하고 있어 원격 제어에 취약한 것으로 나타났습니다. 조사관들은 이러한 제품들이 소비자에게 도달하기 전에 프록시 관련 소프트웨어 개발 키트(SDK)가 사전 설치되어, 결국 악성코드 유포 경로가 되는 프록시 생태계에 편입되는 것으로 추정하고 있습니다.

킴울프는 어떻게 영향력을 확산시키고 통제력을 유지하는가?

Kimwolf 운영자는 대규모 주거용 프록시 네트워크를 이용하여 인터넷에서 노출된 ADB 서비스를 실행하는 Android 기기를 검색합니다. 기기가 발견되면 원격으로 악성코드를 설치하여 해당 기기를 트래픽 중계 및 공격 노드로 만듭니다. 핵심 페이로드는 40860번 포트에서 수신 대기열을 열고 85.234.91[.]247:1337과 외부 통신을 설정하여 운영 명령을 수신합니다.

2025년 12월까지만 해도 감염 경로는 중국 IPIDEA에서 임대한 프록시 IP 주소로 추적되었습니다. IPIDEA는 매일 610만 개 이상의 IP 주소를 갱신하고 6만 9천 개의 새로운 주소를 제공하는 세계 최고의 IP 프록시 서비스 제공업체라고 자칭했습니다. 그러나 12월 27일, 공격자들이 고객이 설치한 프록시 소프트웨어를 통해 내부 장치에 접근하는 사례가 드러나자 IPIDEA는 로컬 네트워크 및 중요 포트 접근을 차단하는 보안 업데이트를 배포했습니다.

분석가들은 이 기술로 인해 발생한 취약점을 전례 없는 수준이라고 설명하며, 수백만 대의 소비자 시스템이 자동화된 공격 경로에 직접 노출되었다고 밝혔습니다.

수익 창출: 프록시, 페이로드 및 유료 공격

킴볼프의 재정적 동기는 처음부터 명확했습니다. 운영자들은 자신들의 인프라를 공격적으로 상업화하여, 해킹당한 기기들을 다양한 경로를 통해 수익 창출 자산으로 전환했습니다.

  • 주거용 프록시 접속 서비스 판매는 GB당 0.20달러, 즉 무제한 대역폭에 월 약 1,400달러라는 저렴한 가격으로 광고되어 여러 프록시 서비스 업체들의 초기 이용을 유도했습니다.
  • 특히 Plainproxies Byteconnect SDK를 비롯한 보조 수익 창출 SDK가 배포되었는데, 이 SDK는 유료 프록시 작업을 명령 서버에서 119개의 전용 릴레이 서버를 통해 감염된 장치로 전달합니다.
  • 봇넷을 악용하여 대규모 DDoS 공격 및 IMAP 서비스와 인기 온라인 플랫폼을 대상으로 한 자격 증명 탈취 공격 등 사이버 범죄 활동을 벌이고 있습니다.

악성코드에 감염된 TV 셋톱박스의 존재와 상용 대역폭 공유 SDK의 통합은 봇넷 운영자와 프록시 경제 부문 간의 협력이 심화되고 있음을 강력하게 시사합니다.

방어 조치 및 위험 감소

유사한 위협을 완화하기 위해서는 서비스 제공업체와 최종 사용자 환경 모두에서 coordinated action(협력적인 조치)이 필요합니다.

  • 프록시 네트워크는 RFC 1918 주소 범위로 향하는 트래픽을 차단하여 외부 고객이 소비자 기기가 있는 내부 사설 네트워크에 접근하는 것을 방지해야 합니다.
  • 조직과 개인은 안드로이드 시스템, 특히 기본 설정이 안전하지 않은 임베디드 및 IoT 기기에서 인증되지 않은 ADB 접근을 비활성화하거나 제한해야 합니다.

이러한 제어 장치가 없다면 주거용 프록시 생태계는 대규모 악성코드 배포 및 봇넷 확장에 이상적인 은폐 수단을 계속해서 제공할 것입니다.

트렌드

아비치 에어드롭 사기

불량 웹사이트
웹 서핑 시 항상 주의를 기울이는 것은 더 이상 선택 사항이 아니라 필수 사항입니다. 사이버 범죄자들은 합법적인 서비스를 모방한 그럴듯한 웹사이트와 캠페인을 구축하며 끊임없이 수법을 발전시키고 있습니다. 최근 사례로는 아비치 에어드롭 사기가 있는데, 이는 의심하지 않는 사용자로부터 암호화폐를 훔치기 위해 고안된 것으로 확인되었습니다. 아비치 에어드롭...

Kimwolf Botnet Campaign

봇넷
보안 연구원들이 가정용 프록시 네트워크를 악용하여 200만 대 이상의 기기를 감염시킨 대규모 안드로이드 봇넷인 '킴울프(Kimwolf)'를 발견했습니다. 이 악성 소프트웨어는 일반 소비자용 기기를 전 세계적인 공격 플랫폼으로 바꿔 악성 트래픽을 은밀하게 전송하고 대규모 분산 서비스 거부(DDoS) 공격을 가능하게 합니다. 관찰 결과 매주 약 1,200만 개의 고유 IP 주소가 감지되어 이 공격의 엄청난 규모를 보여줍니다. 기원, 진화 및 AISURU와의 연관성 킴울프는 2025년 12월 에 처음으로 공개적으로 분석되었으며, 당시 조사관들은 AISURU라는 또 다른 봇넷과 강력한 기술적 및 인프라적 연관성을 확인했습니다. 여러 증거에 따르면 킴울프는 적어도 2025년 8월부터 활동해 왔으며,...

Myrmecophaga Tridactyla

잠재적으로 원하지 않는 프로그램
최근 Myrmecophaga Tridactyla라는 브라우저 확장 프로그램과 PUP(잠재적으로 원하지 않는 프로그램)가 인터넷 사용자들 사이에서 우려의 원인으로 나타났습니다. 브라우저 확장 프로그램이라고도 불리는 Myrmecophaga Tridactyla는 설치 시 웹 브라우저의 보안과 성능을 크게 손상시킬 수 있는 잠재적으로 유해한 소프트웨어입니다....

가장 많이 본

'프린터 드라이버를 사용할 수 없음'오류를 수정하는 방법

문제
46,391
프린터는 사용자가 가장 필요로 할 때마다 작업을 거부하는 것으로 유명합니다. 다행히 프린터에 프린터 드라이버를 사용할 수 없음' 오류가 표시되는 경우 문제를 해결할 수 있는 몇 가지 쉬운 솔루션이 있습니다. 이 특정 오류는 손상된 드라이버 파일, 오래된 드라이버 또는 드라이버 비호환성으로 인해 발생할 수 있습니다. Microsoft의 일반 드라이버를...
화면을 공유 할 때 Discord에 검은 색 화면이 표시됨 스크린샷

화면을 공유 할 때 Discord에 검은 색 화면이 표시됨

문제
35,015
처음 출시되었을 때 Discord는 게임 커뮤니티를 위한 VoIP 플랫폼이었습니다. 그러나 그 후 몇 년 동안 범위를 확장하고 수많은 새로운 기능을 추가했으며 월간 활성 사용자가 1억 4천만 명이 넘는 가장 큰 소셜 플랫폼 중 하나가 되었습니다. 현재 사용자는 개인 인스턴트 메시지를 보내고, VoIP 및 화상 통화를 시작하고, 컴퓨터 화면을...

'macOS는 이 앱에 맬웨어가 없는지 확인할 수 없습니다' 수정 방법

문제
32,785
Mac 사용자는 일반적으로 알 수 없는 개발자의 응용 프로그램이나 공식 App Store에서 사용할 수 없고 타사 앱에서 제공하는 응용 프로그램을 설치하려고 할 때 'macOS에서 이 앱에 맬웨어가 없는지 확인할 수 없습니다'라는 메시지가 표시됩니다.라이선스 플랫폼. 이러한 경우 Gatekeep이라는 내장 Mac 보안 시스템은 특정...
로드 중...