NS포커스(NSFOCUS)가 최근 새롭게 발견한 봇넷 멀웨어 '고릴라봇넷(GorillaBot)'이 전 세계에 막대한 피해를 주고 있다고 발표했다.

지난 9월 4일부터 9월 27일까지 고릴라봇넷은 30만 건 이상의 분산 서비스 거부(DDoS) 공격 명령을 내리며 세계 각국을 대상으로 강력한 사이버 공격을 감행했다. 이 봇넷은 중국, 미국, 캐나다, 독일을 포함한 100개 이상의 국가에서 대학, 정부 웹사이트, 통신사, 은행, 게임 및 도박 업계를 타깃으로 삼았다.

고릴라봇넷은 UDP 플러드, ACK BYPASS 플러드, SYN 플러드, 밸브 소스 엔진(Valve Source Engine, VSE) 플러드와 같은 다양한 DDoS 공격 방식을 사용했다. 특히 UDP 프로토콜의 연결 없는 특성을 이용해 대규모 트래픽을 생성하고 소스 IP를 임의로 위조하는 방식으로 공격을 강화했다.

이 봇넷의 주요 특징 중 하나는 ARM, MIPS, x86, x86_64 등의 여러 CPU 아키텍처를 지원한다는 점이다. 또한 5개의 미리 정의된 명령 및 제어(C2) 서버 중 하나와 연결하여 공격 명령을 대기하는 구조로 동작한다. 더욱이, 아파치 하둡(Apache Hadoop) YARN RPC 취약점을 악용해 원격 코드 실행을 가능하게 하는 기능도 포함되어 있다. 이 취약점은 2021년부터 실제 공격에서 악용된 바 있다.

고릴라봇넷은 감염된 시스템에 “custom.service”라는 서비스 파일을 생성하여 시스템이 시작될 때마다 자동으로 실행되도록 설정한다. 이 서비스 파일은 원격 서버에서 “lol.sh”라는 셸 스크립트를 다운로드하고 실행하는 역할을 한다. 또한, “/etc/inittab”, “/etc/profile”, “/boot/bootcmd” 파일에 비슷한 명령을 추가해 시스템 시작 또는 사용자 로그인 시 스크립트를 자동으로 다운로드하고 실행하도록 구성한다.

NS포커스는 고릴라봇넷이 켁섹(KekSec) 그룹에서 사용하는 암호화 알고리즘을 채택해 주요 정보를 숨기며, 장기적으로 IoT 기기와 클라우드 호스트를 제어하는 데 다양한 기술을 사용한다고 밝혔다. 이는 새로운 봇넷 패밀리로서 높은 수준의 탐지 회피 능력을 보여주고 있다.

이번 발견을 계기로 전문가들은 고릴라봇넷이 단순한 DDoS 공격을 넘어서 장기적인 위협이 될 수 있다는 우려를 제기하고 있어 한국도 적극적 대응에 나서야한다.