Realtek SDK 취약성 공격으로 IoT 공급망 위협 강조 관련 IOC 251개 발견

IOC:
http://185.216.71.157/Bins_Bot_hicore_amd64
http://185.216.71.157/Bins_Bot_hicore_arm64
http://185.216.71.157/Bins_Bot_hicore_arm
http://185.216.71.157/Bins_Bot_hicore_mips
http://185.216.71.157/Bins_Bot_hicore_mips64
http://185.216.71.157/Bins_Bot_hicore_ppc64
http://185.216.71.157/Bins_Bot_hicore_ppc64le
http://185.216.71.157/Bins_Bot_hicore_s390x
http://185.216.71.157/Bins_Bot_hicore_mipsle
http://185.216.71.157/Bins_Bot_hicore_mips64le
http://185.246.221.220/Bins_Bot_hicore_s390x
http://185.246.221.220/Bins_Bot_hicore_ppc64le
http://185.246.221.220/Bins_Bot_hicore_ppc64
http://185.246.221.220/Bins_Bot_hicore_mipsle
http://185.246.221.220/Bins_Bot_hicore_mips
http://185.246.221.220/Bins_Bot_hicore_arm64
http://185.246.221.220/Bins_Bot_hicore_arm
http://185.246.221.220/Bins_Bot_hicore_amd64
http://185.205.12.157/trc/TRC.mpsl
http://172.81.41.196/trc/TRC.mpsl
http://135.148.104.21/mipsel
http://199.195.251.190/trc/TRC.mpsl
http://37.44.238.178/d/xd.mpsl
http://176.97.210.135/assailant.mpsl
http://198.98.56.129/trc/TRC.mpsl
http://141.98.6.249/billy.sh
http://185.216.71.157/Bins_Bot_hicore_mipsle
http://45.140.141.205/bins/sora.mpsl
http://185.205.12.157/trc/TRC.mpsl
http://172.81.41.196/trc/TRC.mpsl
http://135.148.104.21/mipsel
http://199.195.251.190/trc/TRC.mpsl
http://37.44.238.178/d/xd.mpsl
http://176.97.210.135/assailant.mpsl
http://198.98.56.129/trc/TRC.mpsl
http://141.98.6.249/billy.sh
http://185.216.71.157/Bins_Bot_hicore_mipsle
http://185.216.71.157
http://185.216.71.157/Bins_Bot_hicore_amd64
http://185.216.71.157/Bins_Bot_hicore_arm64
http://185.216.71.157/Bins_Bot_hicore_arm
http://185.216.71.157/Bins_Bot_hicore_mips
http://185.216.71.157/Bins_Bot_hicore_mips64
http://185.216.71.157/Bins_Bot_hicore_ppc64
http://185.216.71.157/Bins_Bot_hicore_ppc64le
http://185.216.71.157/Bins_Bot_hicore_s390x
http://185.216.71.157/Bins_Bot_hicore_mipsle
http://185.216.71.157/Bins_Bot_hicore_mips64le
http://185.246.221.220
http://185.246.221.220/Bins_Bot_hicore_s390x
http://185.246.221.220/Bins_Bot_hicore_ppc64le
http://185.246.221.220/Bins_Bot_hicore_ppc64
http://185.246.221.220/Bins_Bot_hicore_mipsle
http://185.246.221.220/Bins_Bot_hicore_mips
http://185.246.221.220/Bins_Bot_hicore_arm64
http://185.246.221.220/Bins_Bot_hicore_arm
http://185.246.221.220/Bins_Bot_hicore_amd64
http://199.195.251.190
http://172.81.41.196
http://103.149.137.124
http://103.149.137.138
http://46.249.32.181
http://37.44.238.148
http://37.44.238.185
http://37.44.238.217
http://69.67.150.36
http://37.44.238.144
http://103.149.137.192
http://185.122.204.30
http://185.205.12.157/trc/TRC.mpsl
http://172.81.41.196/trc/TRC.mpsl
http://135.148.104.21/mipsel
http://199.195.251.190/trc/TRC.mpsl
http://37.44.238.178/d/xd.mpsl
http://176.97.210.135/assailant.mpsl
http://198.98.56.129/trc/TRC.mpsl
http://141.98.6.249/billy.sh
http://185.216.71.157/Bins_Bot_hicore_mipsle
http://45.140.141.205/bins/sora.mpsl
http://199.195.251.190
http://172.81.41.196
http://103.149.137.124
http://103.149.137.138
http://46.249.32.181
http://69.67.150.36
http://103.149.137.192
http://45.125.236.14
http://173.247.227.66
http://173.247.227.70
http://185.122.204.30
http://45.95.55.188
http://2.58.113.79
http://45.95.55.24
http://45.95.55.218
http://45.95.55.189
http://193.142.146.35
http://37.139.129.11
http://78.135.85.70
http://45.137.21.166
http://195.178.120.183
http://195.133.81.29
http://5.253.246.67
http://45.61.184.133
http://45.61.184.118
http://149.5.173.33
http://163.123.143.226
http://45.61.188.148
http://103.207.38.165
http://45.13.227.115
http://176.97.210.147
http://163.123.143.200
http://185.44.81.62
http://38.22.109.7
http://147.182.132.144
http://205.185.126.88
http://209.141.51.43
http://198.98.52.213
http://45.95.55.185
http://20.249.89.181
http://3.235.28.168
http://185.205.12.157/trc/TRC.mpsl
http://172.81.41.196/trc/TRC.mpsl
http://135.148.104.21/mipsel
http://199.195.251.190/trc/TRC.mpsl
http://37.44.238.178/d/xd.mpsl
http://176.97.210.135/assailant.mpsl
http://198.98.56.129/trc/TRC.mpsl
http://141.98.6.249/billy.sh
http://185.216.71.157/Bins_Bot_hicore_mipsle
185.216.71.157
185.216.71.157
185.216.71.157
185.216.71.157
185.216.71.157
185.216.71.157
185.216.71.157
185.216.71.157
185.216.71.157
185.216.71.157
185.216.71.157
185.246.221.220
185.246.221.220
185.246.221.220
185.246.221.220
185.246.221.220
185.246.221.220
185.246.221.220
185.246.221.220
185.246.221.220
199.195.251.190
172.81.41.196
103.149.137.124
103.149.137.138
46.249.32.181
37.44.238.148
37.44.238.185
37.44.238.217
69.67.150.36
37.44.238.144
103.149.137.192
185.122.204.30
185.205.12.157
172.81.41.196
135.148.104.21
199.195.251.190
37.44.238.178
176.97.210.135
198.98.56.129
141.98.6.249
185.216.71.157
45.140.141.205
199.195.251.190
172.81.41.196
103.149.137.124
103.149.137.138
46.249.32.181
69.67.150.36
103.149.137.192
45.125.236.14
173.247.227.66
173.247.227.70
185.122.204.30
45.95.55.188
2.58.113.79
45.95.55.24
45.95.55.218
45.95.55.189
193.142.146.35
37.139.129.11
78.135.85.70
45.137.21.166
195.178.120.183
195.133.81.29
5.253.246.67
45.61.184.133
45.61.184.118
149.5.173.33
163.123.143.226
45.61.188.148
103.207.38.165
45.13.227.115
176.97.210.147
163.123.143.200
185.44.81.62
38.22.109.7
147.182.132.144
205.185.126.88
209.141.51.43
198.98.52.213
45.95.55.185
20.249.89.181
3.235.28.168
185.205.12.157
172.81.41.196
135.148.104.21
199.195.251.190
37.44.238.178
176.97.210.135
198.98.56.129
141.98.6.249
185.216.71.157
26e96945ee32199536d4c85124a24c28e853b557eb31f3907d19f08b9798dff4
26e96945ee32199536d4c85124a24c28e853b557eb31f3907d19f08b9798dff4
1967370203138b9324f11c5cb3fd15ac8d2f0c585373486614600b676a4e2641
78953c71318fb93fa90607039bceb48f2746a8abfa3a9a8914c8fdc48ebf55df
57d39a6a88093c9e1fbc1626105d714be92680bdf666279b7663bcaaf7fa7e6e
78b55d3f1b34f1154a28ce4fc855252bc3104a07944053facf6acce9195b2e77
81e581ed06515af959c8477442243f20baa77c0e54a1054542900936c6e81ff5
ab3de77616b4d85f032a226da6c3629de4a8f1c1b4d32674c1bed30afb9419e1
a877b4e71c8f2f4ab6915cbe8c57c82ac12331e183f7cbda2de4dc3780a50379
26e96945ee32199536d4c85124a24c28e853b557eb31f3907d19f08b9798dff4
5e647d4991f9d339e6e83cee6168915e1e2c9fac0cddc53d3083cbc96a278035
6bca8cf5e48e819179f8473e4e600da2c1ef00802bf1744885dcb5ad56618943
bc03af5c06a7ff6774688e8d71f6d06e0d402f4f86d5b23969bc53d5eab3e522
67f73e1efa3c3a05e896567dfb2cef56e9b5eb33283a13e5934900030357e7e6
ebfedbcf428215d34d8f876fb9c5658048dbb4c5607f328ae155bf26a292b38d
e0fd14114737e4a599f0769683de4faf54cefae1cc106d9f475aa23bdbf5a753
5967a4889b54b97adbb6b949ffd590fa416599326eb3432f40fa142aab1df795
ff8a1abcd4fa94ffc0f1f43a92f816e6bd08272ec54d748cf004c3ef1323d5d9
080a64d595ff246d01b920d5010cffcb4ac56f224acdec32ee3eab08099c6a7b
e1d3adcb85298a08973b7ae6702cc4830d20ebde98e2eac85179c1bbba3ef7ac
edec8e8d4c2ec0c489e4c5dbb89994c223f29e8d4470825bd488bf1a44e42751
28d6dce95ffb8186ac8c611dee0681cca028bbf93365e4f0c7c67c235d3034a3
97878c28d915e2b56e7c06436d209a9198eb0c50bdfb1fd4602e9e95b5eb4321
637dc2a8baf2a46ffe872aedc823ab766b4a9fbab129b2c7dc9513ba8ee712bc
0d2c3120464184610ac939c34e5309968bd7b81255708307d545d742f3468930
f3a3e90ea713215a4d30f0f142d6ef0f1ed72b246ee297b8bba64921dbf4300c
3f8b5887ae0ef8b51845bf0f2996c4f9891cdc0724b7d0ccc3dbc1b4cdae11a2
1a70ceb57768d3e027e307abd09548f151a8d6da72532f1b88e9813eaf0bdad2
2ef3040947c9d51317e103457a6613ac9297cb610b3691ef6d440f15cb36a9ed
9b7eb2cf51d806076e1662ca4ad800c1de421234c19fbea44b56eb47cc616fd8

요약:
사용 가능한 위치:
日本 (일본어) 경영 요약
42호기 연구진은 매달 수천만 건의 공격 기록을 검토하고 있으며, 대부분의 달에는 단일 취약점을 노린 공격이 전체 공격 건수의 10%를 넘지 않는다. 그러나 2022년 8월과 10월 사이에 Realtek Jungle SDK 원격 코드 실행 취약성(CVE-2021-35394)을 이용하려는 공격의 수가 전체 공격의 40% 이상을 차지한다는 것을 발견했다.
2022년 12월 기준으로 이 취약성을 활용하는 총 1억 3,400만 건의 악용 시도가 관찰되었으며, 이 중 약 97%가 2022년 8월 시작 이후에 발생했습니다. 글을 쓰는 시점에서 공격은 여전히 진행 중이다.
우리가 관찰한 공격 중 많은 수가 취약한 IoT 장치를 감염시키기 위해 멀웨어를 전달하려고 시도했다. 이는 위협 그룹이 이 취약성을 이용해 전 세계 스마트 기기에 대한 대규모 공격을 수행하고 있음을 말해준다. 관찰된 공격은 NAT 제품에 의해 성공적으로 차단되었지만 사용자 환경에서 이러한 장치의 보호를 평가하는 것이 중요합니다. IoT 장치와 라우터는 종종 조직의 보안 상태의 일부로 간주되지 않기 때문에, 많은 장치와 조직이 여전히 위험에 처할 수 있다.
CVE-2021-35394는 66개 제조업체의 거의 190개 모델의 장치에 영향을 미칩니다. 공급망 문제로 인해 일반 사용자가 악용되는 영향을 받는 제품을 식별하기 어려울 수 있기 때문에 이 취약성이 많은 공격자를 끌어들인 것으로 생각됩니다.
이러한 우려되는 현상에 대응하여, 우리는 분석을 위해 이 취약성이 공개된 시점부터 2022년 12월까지 이 취약성의 모든 공격 기록을 깊이 파고들었다.
Palo Alto Networks 고객은 WildFire를 포함한 클라우드 제공 보안 서비스가 포함된 차세대 방화벽을 통해 이 게시물에 언급된 취약성 및 악성 프로그램 패밀리로부터 보호를 받습니다. 고급 URL 필터링 및 DNS 보안은 명령을 차단하고 계속할 수 있습니다...

Open New Windows

Realtek SDK 취약성 공격으로 IoT 공급망 위협 강조:
https://unit42.paloaltonetworks.com/realtek-sdk-vulnerability/