새로운 이오티 봇넷 ‘Raptor Train’, 20만 대 이상의 기기 공격
인터넷의 날로 강화되는 연결성이 보안 위협을 더욱 증가시키고 있습니다. 최근 사이버 보안 연구자들은 200,000건 이상의 중소기업 및 개인용 사무실(IoT) 기기를 대상으로 하는 새로운 봇넷, ‘Raptor Train’을 발견했습니다. 이 봇넷은 중국의 국가 주도의 위협 그룹인 ‘Flax Typhoon(플랙스 타이푼)’의 소행으로 밝혀졌습니다.
Raptor Train 봇넷의 개요
이 복잡한 봇넷은 Lumen의 Black Lotus Labs에 의해 2020년 5월부터 운영되고 있는 것으로 추정됩니다. 2023년 6월에는 약 60,000개의 기기가 동시에 공격을 받았습니다. Raptor Train의 중심에는 SOHO 라우터, NVR/DVR 장비, NAS 서버, IP 카메라 등이 포함되어 있으며, 이로 인해 현재까지 200,000개 이상의 기기가 감염되었습니다.
Lumen의 보고서에 따르면, Raptor Train의 구조는 세 개의 계층으로 구성되어 있습니다:
- Tier 1: 감염된 SOHO/IOT 기기
- Tier 2: 악용 서버, 페이로드 서버, 명령 및 제어(C2) 서버
- Tier 3: 중앙 관리 노드 및 “Sparrow”라는 교차 플랫폼 애플리케이션
이 시스템은 고급 관리 기능을 제공하며, 확장 가능한 봇의 악용 및 C2 인프라의 원격 관리를 지원합니다.
공격 기기와 목표
주요 표적이 된 기기로는 ActionTec, ASUS, Hikvision, QNAP 등 다양한 제조업체의 제품이 포함됩니다. 감염된 기기는 주로 미국, 대만, 베트남, 브라질 등에 위치하고 있으며, 평균 감염 유지 기간은 17.44일에 달합니다. 이는 공격자가 감염된 기기를 다시 감염시킬 수 있는 능력을 갖추고 있다는 것을 의미합니다.
공격 기법과 진화
Raptor Train에서 사용되는 기법 중 하나는 ‘Nosedive’라는 맞춤형 변형입니다. 이 기술은 감염된 기기에 명령을 실행하고, 파일을 업로드 및 다운로드하며, DDoS 공격을 수행하는 기능을 가지고 있습니다. Tier 2 노드는 매 75일마다 교체되며, 공격자는 다양한 기기를 빠르게 추가할 수 있는 세부적인 전략을 사용합니다.
사이버 보안 위협에 대한 경고
현재까지 Raptor Train 봇넷으로부터의 DDoS 공격은 감지되지 않았으나, 미국과 대만의 정부, 군사 및 기술 부문을 대상으로 한 여러 차례의 공격이 확인되었습니다. 이는 Raptor Train이 광범위한 스캐닝 활동을 수행하고 있음을 시사합니다.
이와 같은 사이버 공격은 국가적 안전과 기밀성을 위협하며, 개인과 기업의 정보 보안에 큰 영향을 미칠 수 있습니다. 따라서 최신 보안 패치와 강력한 방어 체계의 중요성은 더욱 강조되고 있습니다.