AIRASHI 봇넷, cnPilot 라우터 제로데이 취약점 악용

Hackers Exploit Zero-Day in cnPilot Routers to Deploy AIRASHI DDoS Botnet

 

• 공격 대상 및 사용된 취약점
  • 취약점 악용: Cambium Networks의 cnPilot 라우터에서 제로데이 취약점을 이용한 공격
  • AIRASHI 봇넷: AISURU 봇넷의 변형으로, DDoS 공격 수행
  • 추가적인 취약점: 여러 CVE 취약점들(CVE-2013-3307, CVE-2020-25499 등) 포함
  • 공격 시작 시점: 2024년 6월부터 활용
• 봇넷의 작동 방식
  • AIRASHI 봇넷의 공격 능력: 1-3 Tbps DDoS 공격 용량 유지
  • 주요 공격 국가: 브라질, 러시아, 베트남, 인도네시아에서의 감염 및 중국, 미국, 폴란드, 러시아를 주요 목표로 함
  • 두 가지 버전
    • AIRASHI-DDoS: 주로 DDoS 공격 및 임의 명령 실행, 리버스 쉘 접근
    • AIRASHI-Proxy: DDoS 기능 외에도 프록시 기능을 포함한 버전
• 봇넷의 기능 및 변형
  • AIRASHI-DDoS: HMAC-SHA256과 CHACHA20 알고리즘을 사용하여 C2 서버와 통신
  • 메시지 유형: AIRASHI-DDoS는 13개 메시지 유형을 지원하며, AIRASHI-Proxy는 5개 유형만 지원
  • 프록시 기능 추가: AIRASHI-Proxy는 프록시 기능을 통해 봇넷의 활용 범위 확장
• 봇넷의 주요 변화 및 발전
  • AISURU 봇넷의 지속적 발전: 2024년 9월 일시 중단 후, 10월과 11월에 기능 업데이트 및 AIRASHI로 이름 변경
  • SOCKS5 프록시 사용: 2024년 10월부터 SOCKS5 프록시를 통해 C2 서버와 통신
• 보안 권고
  • IoT 장치의 취약점 악용 방지: 취약한 IoT 장치들에 대한 보안 강화 필요
  • DDoS 공격 대응: 봇넷의 발전에 따른 보안 대응 전략 강화 필요
  • 취약점 관리: 보안 취약점을 빠르게 패치하고, 관련 시스템에 대한 지속적인 모니터링 필요