2021년 1월 25일, 보안업체 360 연구원들은 미라이와 관련있는 의심스러운 ELF 파일을 감지, 이 파일이 Matryosh로 추적된 새로운 봇넷이라는 사실을 밝혀냈다.
360 연구원은 “2021년 1월 25일, 360은 최초 의심스러운 ELF 파일을 미라이로 판단했지만 네트워크 트래픽이 미라이의 특성과 일치하지 않았다. 이에 우리는 분석을 실시했도 분석 결과 해당 악성코드는 미라이 프레임워크를 재사용하고 ADB 인터페이스를 통해 전파되었으며 디도스 공격의 주된 목적으로 안드로이드와 유사한 기기를 표적으로 삼은 새로운 봇넷이라는 것을 확인했다.”라고 분석 결과를 내놓았다.
안드로이드 봇넷의 주요 목적은 디도스 공격을 수해아는 것으로, ADB(안드로이드 디버그 브릿지)는 개발자가 안드로이드 장치와 통신할 수 있는 명령 줄 도구이다. ADB 명령어는 앱 설치 및 디버깅과 같은 다양한 기기 작업을 용이하게 하며 기기에서 다양한 명령어를 실행하는 데 사용할 수 있는 유닉스 셸에 대한 액세스를 제공한다.
ADB는 5555 포트를 통해 안드로이드 휴대폰을 대상으로 하는 멀웨어에 의해 악용될 수 있다. 기본적으로 안드로이드는 ADB 옵션을 비활성화 하지만 공급업체에서 운영 체제를 사용자 정의한 다음 기능이 활성화된 장치를 제공하는 경우가 많다.
또한 기존 위협들과 달리 Matryosh는 탐지를 피하기 위해 Tor 네트워크를 사용한다. 그리고 구현된 암호화 알고리즘과 C2 서버 운영 프로세스는 러시아에 위치해 있어 Matryosh로 명명한 것으로 알려졌다.
[출처 : SecurityAffairs/ 2.4.]
![[보안뉴스 / 3.29.] 콘텐츠 전문기업 리디, 서버 캐시 설정 오류로 고객 개인정보 유출](https://cybersecurity.re.kr/wordpress/wp-content/uploads/2023/03/주석-2023-03-30-135120-500x383.png)
![[보안뉴스 / 3.29.] 트위터 소스코드 유출 사건, 어쩌면 거대한 보안 재앙의 신호탄 될 수 있어](https://cybersecurity.re.kr/wordpress/wp-content/uploads/2023/03/주석-2023-03-30-134630-500x383.png)
![[보안뉴스 / 3.27.] 아시아 최대 규모 통합보안 전시회 SECON & eGISEC 2023, 3월 29~31일 개최](https://cybersecurity.re.kr/wordpress/wp-content/uploads/2023/03/주석-2023-03-28-171550-500x383.png)
댓글을 남겨주세요
로그인 후 댓글을 작성할 수 있습니다.