【드래곤 스포츠】 보증업체놀이터추천홍보 : 프로그램제작판매제작의뢰 : 스포츠분석 : 무료스포츠중계tv : 섹시bj움짤 : 뉴스 : 안구정화

로그인

글쓰기

[IT뉴스]신종 아리스팅어 봇넷, 세계 구형 라우터 4000대 이상 감염... 전체 피해 절반은 한국

온카뱅크관리자

2026-06-22 10:57:30

<div id="layerTranslateNotice" style="display:none;"></div>  
        <div class="article_view" data-translation-body="true" data-tiara-layer="article_body" data-tiara-action-name="본문이미지확대_클릭"> 
         <section dmcf-sid="6Tn4h39UIJ">
          <p contents-hash="51801369231d316ae5d6576a1dc675a3c70a3701cef9c901f9b4f5c19cc99cf1" dmcf-pid="PyL8l02uwd" dmcf-ptype="general"><strong>트래픽 중계부터 DNS 하이재킹까지... 네트워크 감시 위험</strong></p>
          <p contents-hash="fe3b162f5b811c1a37913a53f9c45973ead6876ed631dc735aaf9336c5784d64" dmcf-pid="QWo6SpV7me" dmcf-ptype="general">[보안뉴스 한세희 기자] 세계 곳곳의 구형 라우터 4000대 이상을 감염시켜 악성 트래픽을 중계하는 프록시로 악용하는 신종 봇넷 ‘아리스팅어’(AryStinger)가 포착됐다.</p>
          <p contents-hash="ba54b39e4608b4fa397dcada96c34cb4266cd8e4e9eaa9683e05cec7d95e2086" dmcf-pid="xYgPvUfzmR" dmcf-ptype="general">보안 기업 치안신(Qianxin) X랩 위협 인텔리전스 팀에 따르면, 이 악성코드는 감염된 디바이스를 원격 제어가 가능한 이른바 ‘실행자’(Executor)로 전환한다. 공격자는 이를 통해 스캐닝, 프록시 설정, 터널링, 명령 실행 등 다양한 악성 행위를 수행할 수 있다. </p>
          <p contents-hash="50ab6e0ea3161ab281aa1f858e4c97f8af3b43f571b8414bcf2f3b1afb6855fb" dmcf-pid="yRFvPACErM" dmcf-ptype="general">X랩 연구원들은 “공격자가 대규모 스캐닝 작업을 여러 개의 작은 뭉치(Chunck)로 분할한 뒤, 이를 서로 다른 ‘실행자’에 배포해 병렬로 실행할 수 있다”고 밝혔다. </p>
          <p contents-hash="dd48026f7b12e9c0ba88c2e1d9d4b6a50f577f7722a34958188a276759649bb0" dmcf-pid="We3TQchDsx" dmcf-ptype="general">이러한 분산형 설계로 공격자는 초기 정찰 활동을 효율적으로 완료할 수 있으며, 이는 후속 침투 작업의 성공 확률을 높이는 발판이 된다.</p>
          <figure class="figure_frm origin_fig" contents-hash="a66a20b49de6930ea0e96daa403a3a45b7a62a3150df35db39b09ba01fcd1fae" dmcf-pid="Yd0yxklwwQ" dmcf-ptype="figure">
           <p class="link_figure"><img class="thumb_g_article" data-org-src="https://t1.daumcdn.net/news/202606/22/552815-KkymUii/20260622104958889zbeg.jpg" data-org-width="1000" dmcf-mid="8gywBdcnsi" dmcf-mtype="image" height="auto" src="https://img1.daumcdn.net/thumb/R658x0.q70/?fname=https://t1.daumcdn.net/news/202606/22/552815-KkymUii/20260622104958889zbeg.jpg" width="658"></p>
           <figcaption class="txt_caption default_figure">
            ▲치안신 X랩 연구진이 신종 봇넷 ‘아리스팅어’(AryStinger)를 발견했다. [출처: X랩]
           </figcaption>
          </figure>
          <div contents-hash="ab7e3cb55d8c97eb91a46b05fdcc32b18ff0bb15c5c53b6a00c38bf96a6453bf" dmcf-pid="GiUYRDvmwP" dmcf-ptype="general">
           <br>또 아리스팅어는 감염된 기기의 DNS 설정을 변조해 사용자 웹 브라우징을 하이재킹하거나, 기기로 오고 가는 모든 인바운드 및 아웃바운드 네트워크 트래픽을 몰래 모니터링하고 탈취할 수도 있다. 
          </div>
          <p contents-hash="6bd33a90b59ca3d04f605569ce358eb8a95149c0cc1e1d0e78c3b7e5fe07e240" dmcf-pid="HnuGewTsE6" dmcf-ptype="general">주로 디-링크(D-Link) 구형 모델 ‘DIR-850L’ 및 ‘DIR-818LW’ 라우터가 아리스팅어의 표적이 되고 있다. 이미 알려진 보안 취약점 CVE-2013-3307과 CVE-2016-5681, CVE-2025-11837 등을 악용하는 것으로 확인됐다. </p>
          <p contents-hash="6db8941b281c4aa7d8e4e7aae9dc7a6a4af1dfe361916471d94f0c919fc17a2d" dmcf-pid="XL7HdryOO8" dmcf-ptype="general">이 두 모델은 2023년 루멘(Lumen)에 의해 차단된 ‘AV레콘’(AVrecon) 봇넷의 주요 타깃이기도 했다.</p>
          <p contents-hash="7b2ebf0a7536e57bf88630e721fdfc274094f56a35faf33a18139dee181c16ff" dmcf-pid="ZozXJmWIw4" dmcf-ptype="general">X랩 텔레메트리 데이터에 따르면, 전체 감염 기기의 48.5%가 한국에 집중된 것으로 나타났다. 중국(31.8%), 스웨덴(6.4%), 말레이시아(3.5%), 싱가포르(2.5%) 등이 뒤를 이었다. </p>
          <p contents-hash="54b429d7238636cf08ddd8daa21d81558de72a552d2ec35e7d45035c58c115a8" dmcf-pid="5gqZisYCsf" dmcf-ptype="general">아리스팅어는 C 기반 및 Go 기반의 두 변종이 있는 것으로 파악됐다. C 언어 기반 변종은 주로 성능이 낮은 구형 라우터를 겨냥하고, Go 언어 기반 변종은 네트워크 결합 스토리지(NAS) 시스템을 겨냥한다. </p>
          <p contents-hash="7bcd8ca22a7396853c77ad926f3c87aa7cda06c53f83b52838b5cb5d154faa28" dmcf-pid="1aB5nOGhDV" dmcf-ptype="general">특히 NAS를 겨냥한 Go 버전은 IP 및 DNS 스캐닝, 내부 네트워크 정찰 등을 위해 오픈소스 침투 테스트 도구를 통합하는 등 보다 발전된 기능을 갖췄다. 또 쉘(Shell) 명령뿐만 아니라 Go, 자바, 파이썬 소스 코드를 호스트에서 직접 실행할 수도 있다. </p>
          <p contents-hash="64bce40be73687c9e2626e30b57bd939c3396ae474098c8b76d3aabeff4b97d5" dmcf-pid="tNb1LIHlE2" dmcf-ptype="general">현재 아리스팅어 배후 해킹 조직은 규명되지 않았다. </p>
          <p contents-hash="e650c9a9a25006e4c03a1df9dba7e7ca829c6e1cec2036c74a8dd2b10030d6da" dmcf-pid="FjKtoCXSD9" dmcf-ptype="general">X랩 관계자는 “수명이 종료된 구형 라우터는 신형 모델로 교체하고, 교체가 어렵다면 최신 펌웨어 업데이트 적용과 관리자 비밀번호 변경, 원격 관리 패널 기능 비활성화가 필요하다”고 권고했다. </p>
         </section> 
        </div> 
        <p class="" data-translation="true">Copyright © 보안뉴스. 무단전재 및 재배포 금지.</p>

댓글 총 0개

이번주 포인트랭킹

매주 일요일 밤 0시에 랭킹을 초기화합니다.

14,000상품권
23,000상품권
32,000상품권

업체홍보/구인 더보기

지식/노하우 더보기

판매의뢰 더보기

포토 더보기