New Eleven11bot botnet infected +86K IoT devices
New Eleven11bot botnet infected +86K IoT devices
The Eleven11bot botnet has infected over 86,000 IoT devices, mainly security cameras and network video recorders (NVRs).
securityaffairs.com
- 공격 개요
- Nokia Deepfield 대응팀은 2025년 2월 26일 새로운 대규모 분산 서비스 거부(DDoS) 봇넷인 Eleven11bot을 식별
- 해당 봇넷은 주로 보안 카메라 및 네트워크 비디오 레코더(NVR)를 감염시켜 대규모 DDoS 공격에 활용
- 감염 기기 수는 약 86,400대 이상으로 추산되며, 비국가 행위자에 의한 봇넷 중 보기 드문 규모
- 주요 타깃 및 공격 특징
- 통신 서비스 제공업체, 게임 호스팅 인프라 등을 주요 대상으로 삼음
- 공격 강도는 수십만 ~ 수억 패킷/초(pp/s)에 이르며, 일부는 수일간 서비스 장애 유발
- 공격 벡터 다양화로 인해 방어가 어려움
- 감염 확산 경로
- 취약한 IoT 기기 대상 무차별 대입(Brute Force) 공격 수행
- VStarcam 기기 등 하드코딩된 자격증명 사용 기기 집중 공격
- 노출된 Telnet 및 SSH 포트 스캔하여 원격 접속 및 감염 수행
- 감염된 기기 대부분이 미국(24,700대), 영국(10,800대)에 위치
- 인프라 및 공격자 지리적 특성
- GreyNoise에 따르면 관련 IP 중 61%가 이란에서 기원
- 이 중 305개 IP는 악성 행위가 적극적으로 탐지됨
- 미국의 이란 제재 발표 이후 이상 징후가 급증한 점 주목
- GreyNoise는 Deepfield와 Censys의 데이터를 기반으로 1,400여 개 관련 IP 식별
- 대응 및 모니터링 현황
- Shadowserver Foundation 및 GreyNoise, Nokia Deepfield 등의 조직이 해당 봇넷 실시간 추적 중
- 확산 중인 봇넷은 다양한 국가의 네트워크에 위협을 가하며 국제적 협력 대응 필요
- 결론
- Eleven11bot은 IoT 기반 공격의 최신 트렌드를 보여주며, Telnet/SSH 포트 차단, 기기 기본 비밀번호 변경, 펌웨어 최신화 등 보안 수칙이 절실함
- 기업과 개인은 네트워크 엣지에서의 침입 방지 정책 강화, DDoS 대응 체계 마련이 필요
- 공급망 상 IoT 장비 벤더는 보안 내장 설계 및 하드코딩된 자격증명 제거와 같은 개선책 도입이 시급
'Kant's IT > Issue on IT&Security' 카테고리의 다른 글
| 위장된 CAPTCHA로 배포되는 LummaStealer 악성코드 캠페인 (0) | 2025.03.31 |
|---|---|
| 2025 AI 위협 환경 분석 보고서 요약 (0) | 2025.03.31 |
| 블랙 바스타(Black Basta) 랜섬웨어 그룹 내부 통신 유출 분석 (0) | 2025.03.31 |
| Silk Typhoon, IT 공급망을 겨냥한 공격 전술 전환 (0) | 2025.03.31 |
| 사상 최고 수준의 직원 모니터링, 신뢰를 유지하는 도입 전략 (0) | 2025.03.31 |