다중 라이센스 할인 견적
위협 데이터베이스 봇넷 PolarEdge 봇넷

PolarEdge 봇넷

봇넷년에 Mezo 년까지
번역 :

보안 연구원들은 최근 PolarEdge라는 이름의 라우터 중심 봇넷의 메커니즘을 분석했습니다. TLS 기반 통신, 내장된 구성 트릭, 그리고 의도적인 분석 차단 기능이 결합된 PolarEdge는 가정 및 중소기업 네트워크 기기에 심각한 위협이 될 수 있습니다.

타임라인과 발견

연구원들은 2025년 2월에 PolarEdge를 처음 발견하여 여러 공급업체의 라우터와 NAS 장치를 표적으로 삼은 캠페인과 연관지었습니다. 2025년 8월까지 분석가들은 해당 봇넷 인프라의 상당 부분을 매핑하고 ORB(Operational Relay Box) 스타일 네트워크와 일치하는 특징을 발견했습니다. 회고적 원격 분석 결과, PolarEdge의 일부 활동은 2023년 6월까지 거슬러 올라갈 수 있는 것으로 나타났습니다.

타겟 및 초기 접근

Cisco, ASUS, QNAP, Synology 등 주요 공급업체의 장치가 표적으로 지정되었으며, 기업용 및 소비자용 라우터와 NAS 시스템 모두가 악용 위험에 처해 있다는 사실이 드러났습니다.

2025년 2월 공격 체인에서 위협 행위자들은 알려진 Cisco 취약점(CVE-2023-20118)을 악용하여 'q'라는 이름의 FTP를 통해 전달되는 작은 셸 스크립트를 가져왔습니다. 이 스크립트의 역할은 손상된 호스트에서 PolarEdge ELF 백도어를 검색하여 실행하는 것이었습니다.

코어 임플란트 디자인

PolarEdge는 주로 다음과 같은 기능을 갖춘 TLS 지원 ELF 임플란트입니다.

  • 호스트 지문을 명령 및 제어(C2) 서버로 전송한 다음
  • mbedTLS v2.8.0을 사용하여 구현된 내장 TLS 서버를 통해 명령을 기다립니다.

임플란트의 기본 동작은 사용자 지정 바이너리 프로토콜을 사용하는 TLS 서버 역할을 하는 것입니다. 주요 프로토콜 필드 중 하나는 HasCommand입니다. 이 필드가 ASCII 문자 1과 같으면 임플란트는 Command 필드를 읽고 지정된 명령을 로컬에서 실행한 후 원시 명령 출력을 C2로 반환합니다.

작동 모드

PolarEdge는 두 가지 추가 모드를 지원합니다.

연결 백 모드 : 임플란트는 TLS 클라이언트처럼 동작하여 원격 서버에서 파일을 가져옵니다.

디버그 모드 : 운영자가 구성 매개변수(예: 서버 주소)를 즉시 변경할 수 있는 대화형 모드입니다.

임베디드 구성 및 난독화

봇넷은 ELF 이미지의 마지막 512바이트 내에 런타임 구성을 저장합니다. 해당 블록은 단일 바이트 XOR로 난독화되어 있으며, 연구원들은 XOR 키가 0x11이라고 보고했습니다. 구성을 복구하려면 이 키를 적용해야 합니다.

파일 작업

실행 후, 임플란트는 파일 시스템 이동 및 삭제를 수행합니다(예: /usr/bin/wget 및 /sbin/curl과 같은 바이너리 이동, /share/CACHEDEV1_DATA/.qpkg/CMS-WS/cgi-bin/library.cgi.bak과 같은 파일 삭제). 이러한 작업의 정확한 작동 의도는 현재 공개된 데이터만으로는 완전히 파악되지 않았습니다.

회피 및 분석 방지 기술

PolarEdge는 탐지를 회피하고 분석을 방해하도록 설계된 다양한 정교한 방어 메커니즘을 통합하여 보안 연구원과 자동화 도구가 해당 동작을 식별하고 내부 작동 방식을 분석하는 것을 더욱 어렵게 만듭니다.

난독화를 통해 TLS 서버 초기화 및 지문 인식 루틴의 세부 정보를 숨깁니다.

시작 시 프로세스 위장을 수행하여 합법적인 시스템 서비스에 섞이기 위해 내장된 목록에서 프로세스 이름을 무작위로 선택합니다.

가능한 이름 중 일부는 다음과 같습니다.

  • igmpproxy
  • wscd
  • /sbin/dhcpd
  • 아파치
  • UPnP
  • 아이앱

고전적인 끈기 없이는 회복력이 없다

PolarEdge는 재부팅 후에도 유지되는 기존의 지속성 메커니즘을 설치하지 않는 것으로 보입니다. 대신 런타임 트릭을 수행합니다. 즉, 포크(fork)를 실행하고 자식 프로세스가 30초마다 폴링하여 부모 프로세스의 /proc/ 디렉터리가 여전히 존재하는지 확인합니다. 해당 디렉터리가 사라지면(부모 프로세스가 사라졌음을 의미), 자식 프로세스는 셸 명령을 실행하여 백도어를 다시 실행하여 부팅 시 영구적인 지속성을 제공하는 대신, 기회주의적 런타임 복구를 효과적으로 제공합니다.

수비적 테이크어웨이

라우터 및 NAS 장치를 관리하는 조직은 CVE-2023-20118 및 유사한 원격 실행 취약점에 대한 공급업체 업데이트 및 완화 조치를 적용해야 합니다. 네트워크 어플라이언스에서 발생하는 비정상적인 TLS 활동과 예상치 못한 호스트로의 아웃바운드 연결을 적극적으로 모니터링해야 합니다. 프로세스 위장 및 네트워킹 바이너리와 웹 스크립트의 무단 변경이나 삭제 징후를 주의 깊게 살피는 것 또한 중요합니다.


트렌드

TechBrowser

맥 맬웨어, 애드웨어, 잠재적으로 원하지 않는 프로그램
정보 보안 연구원들의 평가에 따르면 TechBrowser 애플리케이션은 애드웨어 범주에 속하는 것으로 확인되었습니다. 이 분류는 침해적인 광고를 표시하는 능력을 기반으로 합니다. 더욱이, 특정 사용자 데이터에 접근하고 수집하는 능력에 대한 우려도 제기되었습니다. TechBrowser는 주로 Mac 사용자를 대상으로 합니다. 따라서 사용자는...

American Express - 로그인 시도가 차단되었습니다. 사기

피싱, 스팸
사이버 범죄자들은 종종 신뢰할 수 있는 브랜드의 친숙함을 악용하여 의심하지 않는 사용자를 유인하여 민감한 정보를 유출시킵니다. '아메리칸 익스프레스 - 로그인 시도가 차단되었습니다' 사기는 이러한 전술의 대표적인 사례입니다. 이러한 이메일은 아메리칸 익스프레스의 보안 경고를 사칭하여 의심스러운 로그인 시도가 차단되었다고 주장하며 수신자에게 즉각적인 조치를 취할 것을 촉구합니다. 이러한 메시지는 전적으로 사기라는 점을 이해하는 것이 중요합니다. 이 메시지는 아메리칸 익스프레스나 합법적인 회사, 조직 또는 서비스 제공업체와 관련이 없습니다. 이러한 사기의 궁극적인 목표는 수신자를 속여 온라인 뱅킹 자격 증명, 개인 정보 또는 금융 정보를 유출시키는 것입니다. 사기의 작동 방식 일반적으로...

SNS 랜섬웨어

랜섬웨어
랜섬웨어는 개인과 조직이 직면한 가장 파괴적인 사이버 위협 중 하나입니다. 이러한 악성 프로그램은 데이터를 장악하고, 금전적 대금을 요구하며, 심지어 도난당한 정보를 유출하겠다고 위협할 수도 있습니다. 적절한 보안 조치를 통해 기기를 보호하는 것은 개인 정보 보호, 비즈니스 연속성, 그리고 재정적 안정을 유지하는 데 필수적일 뿐만 아니라 매우 중요한...

가장 많이 본

'프린터 드라이버를 사용할 수 없음'오류를 수정하는 방법

문제
53,251
프린터는 사용자가 가장 필요로 할 때마다 작업을 거부하는 것으로 유명합니다. 다행히 프린터에 프린터 드라이버를 사용할 수 없음' 오류가 표시되는 경우 문제를 해결할 수 있는 몇 가지 쉬운 솔루션이 있습니다. 이 특정 오류는 손상된 드라이버 파일, 오래된 드라이버 또는 드라이버 비호환성으로 인해 발생할 수 있습니다. Microsoft의 일반 드라이버를...

Discord가 회색 화면에 멈춤

문제
40,663
때때로 Discord 응용 프로그램을 사용하는 동안 사용자가 회색 화면에서 멈출 수 있습니다. 스트리밍 또는 단순히 응용 프로그램을 로드하는 동안 문제가 발생할 수 있습니다. 이 문제가 발생하고 해결 방법이 궁금하다면 다음 해결 방법을 시도해 보십시오. 화면 모드 간 전환 원인이 시각적 결함이고 더 심각한 것이 아닌 경우 전체 화면 모드 또는 더 작은...
화면을 공유 할 때 Discord에 검은 색 화면이 표시됨 스크린샷

화면을 공유 할 때 Discord에 검은 색 화면이 표시됨

문제
38,930
처음 출시되었을 때 Discord는 게임 커뮤니티를 위한 VoIP 플랫폼이었습니다. 그러나 그 후 몇 년 동안 범위를 확장하고 수많은 새로운 기능을 추가했으며 월간 활성 사용자가 1억 4천만 명이 넘는 가장 큰 소셜 플랫폼 중 하나가 되었습니다. 현재 사용자는 개인 인스턴트 메시지를 보내고, VoIP 및 화상 통화를 시작하고, 컴퓨터 화면을...
로드 중...