ClickCease OracleIV DDoS 봇넷 경고: 도커 엔진 API 보안 유지

콘텐츠 표

인기 뉴스레터 구독하기

4,500명 이상의 Linux 및 오픈소스 전문가와 함께하세요!

한 달에 두 번. 스팸이 없습니다.

OracleIV DDoS 봇넷 경고: 도커 엔진 API 보안 유지

로한 티말시나

2023년 11월 20일 TuxCare 전문가 팀

Docker 사용자 주의: 공개적으로 액세스할 수 있는 Docker 엔진 API 인스턴스를 노리는 OracleIV로 알려진 새로운 위협이 증가하고 있습니다. Cado의 연구원들은 공격자가 잘못된 구성을 악용하여 시스템을 분산 서비스 거부(DDoS) 봇넷으로 전환하는 캠페인을 발견했습니다.

 

DDoS 봇넷 공격 세부 정보

 

공격자는 도커의 API에 대한 HTTP POST 요청을 사용하여 도커 허브에서'oracleiv_latest'라는 이름의 악성 이미지를 가져옵니다. 이 이미지에는 ELF 실행 파일로 컴파일된 Python 멀웨어가 포함되어 있습니다. 흥미롭게도 이 이미지는 Docker용 MySQL 이미지로 위장하고 있으며 지금까지 3,500회 다운로드되었습니다. 그러나 이 이미지에는 명령 및 제어(C&C) 서버에서 XMRig 채굴기와 그 구성을 가져오는 명령도 포함되어 있습니다.

채굴기가 포함되어 있음에도 불구하고 연구원들은 위조 컨테이너에서 암호화폐 채굴의 증거를 찾지 못했습니다. 대신 이미지 내에서 슬로우로리스, SYN 플러드, UDP 플러드와 같은 디도스 공격을 수행하는 기능이 탑재된 간결한 셸 스크립트(oracle.sh)를 발견했습니다.

클라우드 보안 전문가들은 노출된 도커 인스턴스의 취약성을 강조하며 크립토재킹 캠페인의 통로로 도커 인스턴스가 점점 더 많이 사용되고 있다고 강조합니다. 특히 도커 허브에서 악성 이미지를 가져와 컨테이너를 실행하는 것이 간단하기 때문에 이러한 인스턴스는 위협 공격자에게 매력적인 표적이 됩니다.

이러한 문제에 직면한 것은 Docker뿐만 아니라 취약한 MySQL 서버도 공격을 받고 있습니다. 중국발 DDoS 봇넷 멀웨어인 Ddostf는 MySQL 서버를 표적으로 삼아 위협 행위자가 수많은 시스템을 감염시키고 DDoS 공격을 서비스로 판매할 수 있도록 합니다.

2016년에 유출된 Mirai 소스 코드를 기반으로 hailBot, kiraiBot, catDDoS와 같은 새로운 DDoS 봇넷이 등장하여 복잡성을 더하고 있습니다. 사이버 보안 회사 NSFOCUS는 이러한 트로이 목마가 새로운 암호화 알고리즘을 도입하고 자신을 더 잘 숨기기 위해 은밀한 통신 방법을 사용한다고 경고합니다.

리눅스를 타깃으로 하는 디도스 멀웨어인 XorDdos도 2023년에 다시 등장했습니다. 이 멀웨어는 Linux 디바이스를 감염시켜 특정 표적에 대한 후속 DDoS 공격을 위한 '좀비'로 만듭니다.

 

마지막 말

 

팔로알토 네트웍스 유닛 42는 오라클IV 디도스 봇넷 캠페인이 2023년 7월 말에 시작되어 2023년 8월 12일경에 정점을 찍었다고 보고했습니다. 공격자는 디바이스에 성공적으로 침투하기 위해 HTTP 요청을 사용하여 취약점을 식별하는 스캐닝 프로세스를 시작했습니다. 멀웨어가 액세스 권한을 획득하면 현재 사용자 세션과 독립적으로 실행되는 백그라운드 서비스로 전환되어 탐지를 회피합니다. 이러한 진화하는 위협으로부터 보호하려면 경계를 늦추지 말고 Docker 및 MySQL 구성을 안전하게 보호하세요.

 

이 글의 출처는 TheHackerNews의 기사입니다.

요약
OracleIV DDoS 봇넷 경고: 도커 엔진 API 보안 유지
기사 이름
OracleIV DDoS 봇넷 경고: 도커 엔진 API 보안 유지
설명
OracleIV는 Docker API를 표적으로 삼아 머신을 DDoS 봇넷으로 전환합니다. 이 사이버 위협으로부터 Docker 구성을 보호하는 방법을 알아보세요.
작성자
게시자 이름
TuxCare
게시자 로고

Kernel 재부팅, 시스템 다운타임 또는 예정된 유지 보수 기간 없이 취약성 패치를 자동화하고 싶으신가요?

TuxCare로 라이브 패치에 대해 알아보기

TuxCare 게스트 작가 되기

시작하기

메일

가입

4,500

Linux & 오픈 소스
전문가!


뉴스레터 구독하기