사이버보안 연구원들은 분산 서비스 거부(DDoS) 공격을 수행할 수 있는 Zergeca라는 새로운 봇넷을 발견했습니다.
Golang으로 작성된 이 봇넷은 명령 및 제어(C2) 서버(“ootheca(.)pw”와 “ootheca(.)top”)에 있는 “ootheca”라는 문자열을 참조하기 때문에 이런 이름이 붙었습니다.
“기능적으로 Zergeca는 일반적인 DDoS 봇넷이 아닙니다. 6가지 공격 방법을 지원하는 것 외에도 프록싱, 스캐닝, 셀프 업그레이드, 지속성, 파일 전송, 리버스 셸, 민감한 장치 정보 수집 기능이 있습니다.” QiAnXin XLab 팀은 보고서에서 이렇게 밝혔습니다.
Zergeca는 C2 서버의 DNS(Domain Name System) 확인을 위해 DNS-over-HTTPS(DoH)를 사용하고 C2 통신에는 Smux라는 덜 알려진 라이브러리를 사용하는 것으로도 유명합니다.
맬웨어가 새로운 명령을 지원하기 위해 맬웨어를 적극적으로 개발하고 업데이트하고 있다는 증거가 있습니다. 게다가 C2 IP 주소 84.54.51(.)82는 이전에 2023년 9월경 Mirai 봇넷을 배포하는 데 사용되었다고 합니다.
2025년 4월 29일 현재 동일한 IP 주소가 새로운 봇넷의 C2 서버로 사용되기 시작하면서 위협 행위자들이 “Zergeca를 만들기 전에 Mirai 봇넷을 운영하는 경험을 축적했을” 가능성이 제기되었습니다.
봇넷이 주도한 공격, 주로 ACK 플러드 DDoS 공격은 2024년 6월 초순부터 중순 사이에 캐나다, 독일, 미국을 표적으로 삼았습니다.
Zergeca의 기능은 지속성, 프록시, 실리백신, 좀비라는 4가지 모듈로 구성되어 있습니다. 이를 통해 시스템 서비스 추가, 프록싱 구현, 경쟁 마이너 및 백도어 맬웨어 제거, x86-64 CPU 아키텍처를 실행하는 장치에 대한 독점적 제어 권한 획득, 주요 봇넷 기능 처리를 통해 지속성을 설정합니다.
좀비 모듈은 손상된 장치에서 C2로 민감한 정보를 보고하고 서버의 명령을 기다리며, 6가지 유형의 DDoS 공격과 스캐닝, 리버스 셸 및 기타 기능을 지원합니다.
XLab은 “내장된 경쟁자 목록은 일반적인 Linux 위협에 대한 친숙함을 보여줍니다.”라고 말했습니다. “수정된 UPX 패킹, 민감한 문자열에 대한 XOR 암호화, DoH를 사용하여 C2 해결을 숨기는 것과 같은 기술은 회피 전술에 대한 강력한 이해를 보여줍니다.”
