Nexcorium Botnet

사이버 보안 조사 결과, 공격자들이 TBK DVR 시스템과 단종된 TP-Link Wi-Fi 라우터의 보안 취약점을 적극적으로 악용하여 Mirai 봇넷 변종을 배포하고 있는 것으로 나타났습니다. 보안 전략에서 종종 간과되는 이러한 장치들은 오래된 펌웨어, 취약한 구성, 그리고 잦지 않은 패치 적용으로 인해 매력적인 침입 경로가 됩니다. 이러한 장치들이 널리 보급되어 있다는 점은 대규모 사이버 공격의 표적이 되기 위한 중요한 요소로 작용합니다.

알려진 취약점을 악용하여 초기 접근 권한을 획득합니다.

TBK DVR 장치를 대상으로 하는 이번 공격 캠페인은 DVR-4104 및 DVR-4216 모델에 영향을 미치는 중간 심각도(CVSS 점수: 6.3)의 명령 주입 취약점인 CVE-2024-3721을 악용합니다. 공격자는 이 취약점을 이용하여 Nexcorium이라는 Mirai 기반 페이로드를 배포합니다. 이 취약점은 이전 공격 캠페인에서도 발견되었으며, Mirai 변종과 새롭게 등장한 RondoDox 봇넷을 배포하는 데 사용된 바 있습니다.

또한, 이전 연구에서는 취약한 자격 증명과 라우터, IoT 장치 및 기업 애플리케이션 전반의 기존 취약점을 악용하여 RondoDox, Mirai 및 Morte를 포함한 여러 악성코드 계열을 배포하는 서비스형 로더(loader-as-a-service) 생태계가 존재한다는 점을 지적했습니다.

감염 사슬 및 페이로드 배포

공격 과정은 DVR 취약점을 악용하여 다운로더 스크립트를 배포하는 것으로 시작됩니다. 이 스크립트는 대상 시스템의 Linux 아키텍처를 식별하고 적절한 봇넷 페이로드를 실행합니다. 악성코드가 활성화되면 제어권 확보를 알리는 메시지를 표시하여 시스템 침해를 알립니다.

Nexcorium은 암호화된 구성 데이터, 시스템 모니터링 메커니즘, 분산 서비스 거부 공격 실행을 위한 전용 모듈 등을 포함하여 기존 Mirai 변종의 구조적 설계를 그대로 반영합니다.

측면 이동 및 지속 기법

해당 악성 소프트웨어는 화웨이 HG532 장치를 대상으로 하는 CVE-2017-17215를 비롯한 추가적인 취약점을 악용하여 네트워크 내에서 확산 범위를 넓힙니다. 또한, 내장된 자격 증명 목록을 이용한 무차별 대입 공격 기법을 사용하여 텔넷 접속을 통해 다른 시스템을 침해합니다.

일단 접근 권한이 확보되면 악성 프로그램은 다음과 같은 여러 작업을 수행합니다.

• 침해당한 호스트에서 셸 세션을 설정합니다.
• crontab 및 systemd 서비스를 사용하여 영구 저장소를 구성합니다.
• 원격 명령 및 제어 서버에 연결하여 지침을 받습니다.
• 포렌식 가능성을 줄이기 위해 원본 바이너리를 삭제합니다.

이러한 조치는 지속적인 통제를 보장하는 동시에 탐지 및 분석 가능성을 최소화합니다.

봇넷 기능 및 운영 영향

Nexcorium은 지속성 확보 후 공격자가 다음과 같은 다양한 프로토콜을 사용하여 여러 가지 DDoS 공격을 실행할 수 있도록 합니다.

UDP
TCP
SMTP

이러한 다중 벡터 기능은 유연하고 영향력이 큰 공격 시나리오를 가능하게 하여 봇넷이 표적 인프라에 상당한 위협이 되도록 합니다.

지속적인 위협 환경 및 미래 위험

Nexcorium은 IoT에 특화된 봇넷의 진화를 보여주는 대표적인 사례로, 취약점 재사용, 다양한 아키텍처와의 호환성, 그리고 강력한 지속성 메커니즘을 결합했습니다. 알려진 취약점을 활용하는 동시에 공격적인 무차별 대입 공격을 사용하는 방식은 높은 적응성을 입증합니다.

기본 자격 증명과 패치가 적용되지 않은 장치에 대한 지속적인 의존은 IoT 생태계를 심각한 취약점으로 남게 할 것입니다. 장치 보안 관행에 상당한 개선이 이루어지지 않는 한, 이러한 시스템은 대규모 봇넷 운영을 부추기고 전 세계 네트워크 안정성을 저해할 것입니다.