ClickCease 코만도 캣 공격: 지금 바로 노출된 Docker API 보호하기

인기 뉴스레터 구독하기

4,500명 이상의 Linux 및 오픈 소스 전문가와 함께하세요!

한 달에 두 번. 스팸이 없습니다.

코만도 캣 공격: 지금 바로 노출된 Docker API 보호하기

by 와자핫 라자

2024년 2월 14일 TuxCare 전문가 팀

노출된 Docker API 위험 는 컨테이너 기술을 사용하는 조직에 심각한 보안 위협이 될 수 있습니다. 최근 몇 달 동안, 정교한 암호화 재킹 작업인 코만도 캣 이라고 불리는 정교한 암호화 재킹 작전이 Docker API 보안 에 대한 강력한 위협으로 부상했습니다. Cado 보안 연구원인 Nate Bill과 Matt Muir가 자세히 설명한 이 캠페인은 취약한 Docker 호스트를 노리는 사이버 위협의 우려스러운 추세를 나타냅니다.

 

코만도 캣 이해하기


코만도 캣은 시스템에 침투하기 위한 게이트웨이로 도커를 사용하여 코만도 프로젝트를 통해 생성된 양성 컨테이너를 배포합니다. 일단 내부로 침투한 공격자는 컨테이너의 한계를 벗어나 Docker 호스트에서 여러 페이로드를 실행하는 등 일련의 악의적인 작업을 조율합니다.
도커 API 침해 예방 는 잠재적인 취약점으로부터 보호하기 위해 사전 예방적 보안 조치와 철저한 모니터링이 필요합니다.


활동 타임라인


고양이 테마
사이버 공격 은 끊임없이 진화하는 사이버 보안 위협 환경에 독특한 변형을 더합니다. 2024년 초부터 활동한 것으로 추정됩니다, 코만도 캣 는 유사한 캠페인의 뒤를 바짝 뒤쫓고 있습니다. 같은 해 1월에는 취약한 도커 호스트를 악용하는 또 다른 악성 활동 클러스터가 발견되어 이러한 위협이 점점 더 널리 퍼지고 있음을 강조했습니다.


작동 방식


의 작동 방식은
코만도 캣 의 작동 방식은 도커를 활용하여 액세스를 시작하고 수많은 상호 연결된 페이로드 수많은 페이로드를 전달합니다. 이러한 페이로드는 지속성을 확립하고 호스트를 백도어하는 것부터 클라우드 서비스 제공업체의 자격 증명을 유출하고 암호화폐 채굴 작업을 시작하는 것까지 다양한 악의적인 활동을 포함합니다.


감금 탈출


코만도 캣의 전략에서 주목할 만한 한 가지 측면은 루트 명령을 사용하여 컨테이너의 제약을 벗어나 호스트 시스템 내에서 공격 범위를 효과적으로 확장하는 능력입니다. 이 수법을 통해 공격자는 추가 명령을 실행하고 권한을 확대하여
코만도 캣 사이버 공격.


컨테이너화 취약점 식별


취약한 도커 인스턴스에 발판을 마련하면 Commando Cat은 철저한 정찰을 수행하여 다음과 같은 특정 활성 서비스를 확인합니다.
"ys-kernel-debugger", "gsc", "c3pool_miner" "dockercache." 이러한 세심한 접근 방식은 공격이 최적의 조건에서만 진행되도록 하여 성공 가능성을 극대화합니다.


약점 악용


공격의 후속 단계에는 백도어를 생성할 수 있는 셸 스크립트, SSH 키 추가, 상승된 권한을 가진 악성 사용자 계정 설정 등 명령 및 제어 서버에서 추가 페이로드를 배포하는 작업이 포함됩니다. 이러한 조치는 손상된 시스템에 대한 장기간의 액세스 및 제어를 위한 효과적인 기반을 마련합니다.


회피 전술


Docker 컨테이너를 위한 사이버 보안
은 오늘날의 디지털 환경에서 필수적입니다. 코만도 캣 은 탐지 및 포렌식 분석을 방해하기 위해 다양한 회피 전술을 사용합니다. 이 멀웨어는 /tmp 대신 /dev/shm과 같은 일반적인 파일 저장 위치를 활용하여 디스크에서 차지하는 공간을 최소화함으로써 추적 및 완화를 더욱 어렵게 만듭니다.


컨테이너화된 환경에 대한 사이버 위협


코만도 캣의 주요 목표는 감염된 컴퓨터의 계산 자원을 악용하여 금전적 이득을 취하기 위해 XMRig와 같은 암호화폐 채굴 소프트웨어를 배포하는 것입니다. 이 페이로드는 경쟁하는 채굴 프로세스를 제거한 후 실행되어 리소스 활용의 효율성을 극대화합니다.


어트리뷰션 과제


정확한 기원은 알 수 없지만
코만도 캣 의 정확한 기원은 아직 파악하기 어렵지만, 일부 지표는 TeamTNT와 같은 알려진 크립토재킹 그룹과 관련이 있을 가능성을 시사합니다. 그러나 사이버 작전의 특성과 모방 수법의 만연으로 인해 결정적인 배후를 밝히기는 어렵습니다. 따라서 도커 컨테이너 보안 을 보호하는 것은 강력한 사이버 보안 태세를 유지하는 데 중요합니다.


결론


결론적으로,
코만도 캣 는 인증 정보 도용, 백도어 액세스, 암호화폐 채굴 등의 요소를 하나의 다목적 패키지로 결합한 다면적인 위협입니다. 이러한 캠페인은 계속 진화하고 있습니다, API 보안 모범 사례 취약한 시스템을 패치하고 보안 프로토콜을 강화하는 등의 API 보안 모범 사례는 그 영향을 완화하는 데 가장 중요합니다.

 

이 글의 출처에는 다음 기사가 포함됩니다. 해커 뉴스DarkReading.

 

요약
코만도 캣 공격: 지금 바로 노출된 Docker API 보호하기
기사 이름
코만도 캣 공격: 지금 바로 노출된 Docker API 보호하기
설명
노출된 Docker API를 노리는 Commando Cat 공격을 방어하는 방법을 알아보세요. 사이버 위협으로부터 시스템을 보호하고 보안을 유지하세요.
작성자
게시자 이름
TuxCare
게시자 로고

Kernel 재부팅, 시스템 다운타임 또는 예정된 유지 보수 기간 없이 취약성 패치를 자동화하고 싶으신가요?

TuxCare 게스트 작가 되기

메일

Linux 환경을 이해하도록
도와주세요!

오픈소스 현황에 대한 설문조사를 완료하면 최고 상금 500달러를 포함한 여러 가지 상품 중 하나를 받을 수 있습니다!

엔터프라이즈 Linux의 미래를 만들기 위해서는 여러분의 전문 지식이 필요합니다!