해커는 Oracle 웹로직 서버와 도커 API를 악용하여 암호화폐를 채굴합니다.

사이버 보안 기업 트렌드마이크로는 위협 행위자들이 Oracle 웹로직 서버의 보안 취약점을 악용하여 암호화폐 채굴 멀웨어를 배포하는 멀웨어 캠페인을 발견했습니다.

이 취약점을 악용하는 멀웨어 중 하나는 킨싱 멀웨어입니다. 킨싱 멀웨어의 배후에 있는 운영자는 취약한 서버를 찾아 봇넷에 합류시키는 것으로 악명이 높습니다.

공격자들은 패치되지 않은 서버를 표적으로 삼아 서버를 제어하고 악성 페이로드를 드롭하는 2년 된 RCE 원격 코드 실행 버그인 CVE-2020-14882를 사용하는 최신 경향을 보입니다. 이 결함의 심각도 점수는 9.8점입니다.

공격자는 취약점을 성공적으로 익스플로잇하기 위해 /car/log/syslog 시스템 로그 제거, 알리바바와 텐센트의 보안 기능 및 클라우드 서비스 에이전트 비활성화, 경쟁 마이닝 프로세스 종료 등 다양한 섹션을 수행하는 셸 스크립트를 사용합니다.

성공적으로 배포된 후 셸 스크립트는 원격 서버에서 킨싱 멀웨어를 다운로드하고 지속성을 보장하기 위한 조치를 취합니다.

아쿠아 시큐리티의 연구원들은 TeamTNT라는 또 다른 크립토재킹 그룹도 확인했습니다.

TeamTNT의 공격 체인 중 하나는 SECP256K1 암호화를 해독하는 것을 목표로 하며, 성공하면 공격자가 각 암호화폐 지갑의 키를 계산할 수 있게 됩니다. 이 캠페인은 공격 대상의 높지만 불법적인 컴퓨팅 성능을 사용하여 ECDLP 솔버를 실행하고 키를 획득하는 것을 목표로 합니다.

TeamTNT가 수행한 다른 두 가지 공격은 코인 채굴기와 쓰나미 바이너리를 사용하기 위해 노출된 Redis 서버와 잘못 구성된 Docker API를 악용한 것과 관련이 있습니다.

연구진에 따르면, 해당 계정(알피네오스와 샌드eep078)은 루트킷, 쿠버네티스 익스플로잇 킷, 크리덴셜 도용자, XMRig 모네로 채굴자, 심지어 킨싱 멀웨어와 같은 다양한 악성 페이로드를 유포하는 데 사용되는 것으로 알려졌습니다.

보안 조치로, 기업은 노출된 REST API를 TLS로 구성하여 적대적인 AiTM 공격을 완화하고 자격 증명 저장소와 헬퍼를 사용하여 사용자 데이터를 호스팅하는 것이 좋습니다.

이 글의 출처에는 다음 기사가 포함되어 있습니다. TheHackerNews.

요약

기사 이름

해커는 Oracle 웹로직 서버와 도커 API를 악용하여 암호화폐를 채굴합니다.

설명

사이버 보안 기업 트렌드마이크로는 위협 행위자가 보안 취약점을 악용하는 멀웨어 캠페인을 발견했습니다.

작성자

오반라 오페야미

게시자 이름

턱시도 케어

게시자 로고