C0XMO 봇넷, DD‑WRT 라우터 취약점으로 전파돼 경쟁 악성코드 격파

발행: 2일 전 (2026년 6월 7일 PM 11:17 GMT+9)

7 분 소요

출처: Bleeping Computer

새로운 변종인 C0XMO는 Gafgyt 봇넷의 일종으로 DD‑WRT 라우터 펌웨어를 표적으로 삼으며, 다양한 CPU 아키텍처를 가진 다른 장치로도 이동할 수 있습니다.

연구진은 ARM, MIPS, PowerPC, SuperH, x86, x86_64 등 여러 아키텍처용 샘플을 발견했으며, 여기에는 DVR, 라우터, 영상 관리 플랫폼, Android 기반 장치를 노리는 익스플로잇이 포함됩니다.

이 봇넷은 일본의 한 기술 회사를 표적으로 삼은 것으로 보였지만, 조사 결과 공격에 사용된 IP 주소는 독일에 위치한 장치에서 나온 것이었습니다.

Fortinet 연구원들은 C0XMO를 발견하고, 이 봇넷이 모듈형 설계를 채택해 운영자가 악용 기법을 업데이트하고, 대상 아키텍처를 추가·제거하며, 메인 페이로드와는 별개로 횡방향 이동 기능을 확장할 수 있다고 강조했습니다.

근본적으로 C0XMO는 분산 서비스 거부(DDoS) 공격을 수행하는 악성코드이며, UDP/TCP/SYN/ICMP 플러드, “ping of death”, NTP/멤캐시드 증폭, Discord 음성 UDP 플러드, Valve 전용 플러드 등 19가지 방법을 지원합니다.

연구진에 따르면 C0XMO 봇넷은 CVE‑2021‑27137(사용자 입력 검증 부족으로 인한 버퍼 오버플로) 취약점을 이용해 전달됩니다. 인증 없이 악용할 수 있으며 임의 코드를 실행하게 됩니다.

Gafgyt 스캐너

보다 넓은 배포를 위해 C0XMO는 ‘requests’, ‘paramiko’, ‘beautifulsoup4’ 등 네트워크 스캔과 통신, SSH·텔넷 프로토콜을 통한 활동에 필요한 추가 패키지를 설치하는 파이썬 스크립트를 다운로드합니다.

스캐너는 워커 스레드를 사용해 22(SSH), 23(텔넷), 80/443(HTTP/HTTPS), 7547, 8080, 8443, 8888 등 일반 포트에 노출된 인터넷 시스템을 무작위로 탐색합니다.

대상을 찾으면 악성코드는 약한 텔넷·SSH 자격 증명을 무차별 대입하고, CPU 아키텍처를 감지한 뒤 호환 가능한 C0XMO 바이너리를 배포합니다.

스크립트에는 스캔, HTTP·ADB 기반 취약점 악용, CPU 아키텍처 탐지, SSH/텔넷 로그인, IP 주소 확인 등 다양한 작업을 수행하는 거의 20개의 함수가 포함되어 있으며, 주 목적은 네트워크 내에서 횡방향 이동하는 것입니다.

장치에 접근에 성공하면 악성코드는 자신을 ‘/tmp/.sys’, ‘/var/tmp/.sys’, ‘/dev/shm/.sys’ 등 숨김 경로에 복사하고, 15분마다 재실행하도록 크론 작업을 생성합니다. 또한 쉘 시작 파일을 수정해 자동 실행을 보장합니다.

게다가 C0XMO는 실행 중인 프로세스를 적극적으로 스캔해 호스트에 존재하는 경쟁 봇넷 클라이언트, 레드팀 도구, 개발 도구, 네트워크 서비스 등을 찾아내어 종료합니다. 이를 위해 바이너리를 삭제하고, 크론 작업, init 스크립트, 시스템 서비스, 쉘 프로필 항목 등 지속성 메커니즘을 제거합니다.

악성코드가 확인하는 프로세스 목록
Source: Fortinet