Mirai 변종 V3G4 탐지: 13개의 취약점을 악용하여 Linux 서버 및 IoT 장치를 대상으로 하는 새로운 봇넷 버전

위협 행위자들은 공격의 범위를 확장하기 위해 새로운 복잡한 멀웨어 변종 실험과 공격 도구 키트 강화 작업을 끊임없이 진행하고 있습니다. 사이버 방어자들은 새로운 Mirai 봇넷 변종 V3G4가 사이버 위협 환경에서 주목받고 있음을 관찰했습니다. 이 새로운 멀웨어 변종은 2022년 7월 이후로 절반 이상 지나서도 목표 사용자들을 위협하는 여러 적대자 캠페인에서 활용되었습니다. 특정 IoT 기기 집합의 취약점을 악용함으로써, Mirai V3G4 변종은 원격 코드 실행(RCE) 및 서비스 거부(DDoS) 공격을 초래할 수 있습니다.

V3G4 Mirai 변종 탐지

새로운 V3G4 Mirai 변종을 활용한 공격의 규모와 복잡성의 증가를 고려할 때, 보안 담당자들은 조직의 인프라를 방어하고 관련 악성 활동을 식별하기 위한 신뢰할 수 있는 탐지 콘텐츠 소스를 필요로 합니다.

SOC Prime의 Detection as Code 플랫폼은 우리 날카로운 Threat Bounty 개발자 Wirapong Petshagun 이 최신 V3G4 활동과 관련된 웹서버 로그에서 Mitel AWC 원격 명령 실행 악용 패턴을 탐지하는 전용 시그마 규칙을 제공합니다:

미텔 AWS 원격 명령 실행 악용 패턴 (웹서버 통해) – V3G4로 알려진 Mirai 변종에서 사용

탐지는 MITRE ATT&CK 프레임워크 v12와 일치하며, 주된 기술로서 Exploit Public-Facing Application (T1190)을 적용하여 초기 접근 전술을 다룹니다. 시그마 규칙은 다중 플랫폼 위협 탐지 시간을 절감하여 16개의 SIEM, EDR 및 XDR 솔루션으로 자동 변환될 수 있습니다.

사이버 방어자 대열에 합류하고 싶으신가요? 우리의 Threat Bounty Program 에 가입하여 당신의 독점 탐지 콘텐츠로 수익을 창출하고, 미래의 CV를 코딩하며 탐지 엔지니어링 기술을 연마하세요. 세계 최대의 위협 탐지 마켓플레이스에 게시되어 전 세계 8,000개 이상의 조직이 탐색하는 동안, 당신의 시그마 규칙은 새로운 위협을 탐지하고 세계를 더 안전한 곳으로 만들면서도 반복적인 재정적 이익을 제공할 수 있습니다.

Mirai 멀웨어와 관련된 악성 활동을 탐지하는 완전한 시그마 규칙 배치를 탐색하려면 탐지 탐색 버튼을 누르세요. 이 규칙들은 관련 CTI 링크, ATT&CK 참조, 및 위협 사냥 아이디어를 포함하여 광범위한 메타데이터가 함께 제공됩니다.

탐지 탐색

Mirai 변종 V3G4 설명

악명 높은 Mirai 멀웨어는 사이버 방어자들에겐 골칫거리였으며, 지속적으로 업그레이드되고 새로운 공격 능력을 추가받고 있습니다. 9월에, Mirai 봇넷 뒤에 있는 위협 행위자들은 MooBot으로 알려진 그들의 간단한 변형을 출시했습니다, 이는 D-Link 디바이스에 영향을 미치며 다양한 악용 기술들을 활용합니다.

새로운 Mirai 봇넷 변종 V3G4는 2022년 여름 중반 이래로 Linux 기반 서버와 네트워킹 디바이스를 타겟으로 하는 사이버 위협 무대에서 관찰되었습니다. Palo Alto Networks Unit 42의 연구에 따르면, 3개의 적대자 캠페인에서 관찰된 새로운 멀웨어 버전 샘플들은 하드코딩 된 C2 도메인에 동일한 문자열이 포함되어 있다는 점, 같은 XOR 복호화 키와 쉘 스크립트 다운로드 사용, 그리고 같은 패턴의 다른 공격 능력 등의 근거로 한 해킹 그룹에 의해 행해졌을 가능성이 높습니다.

현재 진행 중인 공격에서, Mirai 봇넷은 IoT 장치의 13개의 패치되지 않은 취약점을 목표로 하고 있으며, 이는 RCE를 유발하고 잠재적인 DDoS 공격을 시도하는 적대자에게 기회를 제공합니다. 취약점들은 RCE, 명령 주입, 및 객체-그래프 네비게이션 언어(OGNL) 주입 취약점들을 포함하여 FreePBX Elastix, Gitorious, FRITZ!Box 웹캠, Webmin, Spree Commerce, Atlassian Confluence와 같은 다양한 IoT 장치에서 발생합니다.

유의할 점은, 다른 Mirai 버전과 달리, 새로운 V3G4 변종은 각 용례에 대해 문자열 암호화를 위한 고유한 XOR 키를 적용합니다. C2 서버에 연결되기 전에, V3G4는 DDoS 공격 기능을 초기화하여 접속이 준비되면 DDoS 공격을 시도할 준비를 완료합니다.

Mirai 변종 V3G4는 취약점 악용 성공 후 영향을 받은 시스템에 심각한 보안 영향을 미칠 수 있으며, 이는 추가적인 공격을 유발할 수 있어 사이버 방어자의 매우 신속한 대응이 필요합니다.

800개 이상의 시그마 규칙에 도달하여 현재 및 새로운 CVE의 악용 시도를 사전에 탐지하며 항상 적보다 한 발 앞서 나가십시오. 140 개 이상의 시그마 규칙을 무료로 얻거나 최신 프리미엄 탐지를 요구에 따라 확보할 수 있습니다 https://my.socprime.com/pricing/.