더해커뉴스 보도에 따르면, 보안연구원들은 2022년 8월 초부터 리얼텍(Realtek) Jungle SDK의 중요한 원격 코드 실행 결함을 무기화하는 익스플로잇 시도가 급증했다고 경고하고 있다고 전했다. 

팔로 알토 네트웤스 유닛42 분석내용에 따르면, 진행 중인 사이버공격은 2022년 12월 1억 3400만 건의 악용 시도를 기록했으며 공격의 97%가 이전 4개월 동안 발생했다고 한다.

공격의 거의 50%가 미국(48.3%)에서 시작되었으며, 그 뒤를 베트남(17.8%), 러시아(14.6%), 네덜란드(7.4%), 프랑스(6.4%), 독일(2.3%0), 룩셈부르크(1.6%)가 따른다. 뿐만 아니라 공격의 95%가 호주에 있는 조직을 지목했다.

유닛42 연구원은 보고서에서 "우리가 관찰한 많은 공격은 취약한 IoT 장치를 감염시키기 위해 멀웨어를 전달하려고 시도했다. 위협 그룹은 이 취약점을 사용하여 전 세계 스마트 장치에 대한 대규모 공격을 수행하고 있다."라고 덧붙였다.

문제의 취약점은 CVE-2021-35394(CVSS 점수: 9.8)로, 최고 수준의 권한으로 임의 코드를 실행하고 영향을 받는 기기를 장악하도록 무기화할 수 있는 일련의 버퍼 오버플로우와 임의 명령 주입 버그다.

2021년 8월 ONEKEY(이전 IoT Inspector)에 의해 공개된 이 취약점은 D-Link, LG, Belkin, Belkin, ASUS 및 NETGEAR의 광범위한 장치에 영향을 미친다.

유닛42는 이 결함을 실제로 악용해 배포된 세 가지 종류의 페이로드를 발견했다고 밝혔다.

▲대상 서버에서 셸 명령을 실행하여 추가 악성코드를 다운로드하는 스크립트

▲파일에 바이너리 페이로드를 작성하고 실행하는 인젝션된 명령

▲대상 서버를 직접 재부팅하여 서비스 거부(DoS) 조건을 유발하는 인젝션된 명령

또한 CVE-2021-35394의 남용을 통해 Mirai, Gafgyt, Mozi와 같은 알려진 봇넷과 RedGoBot이라는 새로운 Golang 기반 분산 서비스 거부(DDoS) 봇넷이 전달되었다.

2022년 9월에 처음 관찰된 RedGoBot 캠페인은 다양한 CPU 아키텍처에 맞게 조정된 여러 봇넷 클라이언트를 다운로드하도록 설계된 셸 스크립트를 떨어뜨리는 것과 관련이 있다. 이 악성코드는 일단 실행되면 운영 체제 명령을 실행하고 DDoS 공격을 탑재할 수 있다.

이 발견는 잠재적인 위협에 노출되지 않도록 적시에 소프트웨어를 업데이트하는 것의 중요성을 다시 한 번 강조한다.

보안연구원은 "CVE-2021-35394를 활용하는 공격의 급증은 위협 행위자가 일반 사용자가 식별하고 해결하기 어려울 수 있는 공급망 취약성에 매우 관심이 있음을 보여준다. 이러한 문제로 인해 영향을 받는 사용자는 악용되고 있는 특정 다운스트림 제품을 식별하기 어려울 수 있다."라고 밝혔다. 

★정보보안 대표 미디어 데일리시큐!