새로운 미라이 봇넷 변종 탐지: MooBot 샘플이 D-Link 라우터를 겨냥

보안 연구원들은 D-Link 장치를 표적으로 하는 MooBot이라는 새로운 Mirai 봇넷 변이에 대해 경고를 발하고 있습니다. 이 새로운 위협은 여러 취약점 공격 기술을 사용합니다.

MooBot은 2019년에 처음 등장하여 LILIN 디지털 비디오 레코더와 Hikvision 비디오 감시 제품을 장악하고 서비스 거부 봇군에 참여시켰습니다.

MooBot 탐지

시스템 내 MooBot 샘플의 서명 ID를 탐지하려면, SOC Prime Threat Bounty 개발자 Nattatorn Chuensangarun이 제공한 다음 Sigma 규칙을 사용하세요:

D-Link 장치를 타겟으로 하는 Mirai Botnet(MooBot)에 대한 Palo Alto Networks 서명 감지

감지 규칙은 MITRE ATT&CK® 프레임워크 v.10과 일치하며, 원격 서비스의 취약점 탐색(T1210) 기법으로 표현된 측면 이동 전술을 다룹니다.

SOC 콘텐츠 라이브러리는 CVE 및 MITRE ATT&CK® 프레임워크에 직접 매핑된 200K 이상의 탐지 및 대응 알고리즘을 집계하여 침입 초기 단계에서 악명 높은 사이버 공격에 견딜 수 있도록 합니다. 액세스하려면 탐지 조사를 진행 버튼을 클릭하세요.

탐지 조사를 진행  

MooBot 분석

이 발견은 Palo Alto Networks Unit 42에서 왔으며, 위협 행위자들이 다음과 같은 심각도 높은 D-Link 취약점을 활용한다고 설명합니다: CVE-2015-2051, CVE-2018-6530, CVE-2022-26258, CVE-2022-28958. 적의 공격이 성공하면, 악성 코드를 원격으로 실행하고 MooBot 페이로드를 불러와 Linux 운영 네트워크 장치를 손상시킬 수 있습니다. 공격자가 장치에 대한 완전한 제어 권한을 갖게 되면 그들의 악의적인 계획에 있어 하늘이 한계일 것입니다. 높은 확률로, 적들은 악독한 DDoS 공격을 시작할 것입니다.

Mirai 기반 봇넷인 MooBot은 심각한 보안 영향을 미칠 수 있으며, 이러한 공격의 심각한 결과는 취약한 장치 사용자들이 가능한 한 빨리 결함을 패치하도록 촉구합니다.

전 세계적으로 사이버 공격의 수와 심각도가 증가하면서 공격 표면이 확장되어 매일 더 많은 개인과 기업이 위험에 처하고 있습니다. 귀사의 보안 관행을 최고 수준으로 장비하려면, 등록하세요. SOC Prime 플랫폼.