New TeamTNT Cryptojacking Campaign Targets CentOS Servers with Rootkit
공격 개요
- TeamTNT 해킹 조직이 CentOS 서버 기반 VPS 인프라를 대상으로 한 크립토재킹(cyptojacking) 캠페인을 다시 시작
- SSH 브루트 포스 공격을 통해 취약한 서버에 접근 후 악성 스크립트를 업로드하여 보안 기능 비활성화, 로그 삭제, 암호화폐 마이닝 방해 등의 활동을 수행
- Diamorphine 루트킷을 배포하여 악성 프로세스를 숨기고 지속적인 원격 접근을 확보
공격 방법 및 절차
- 초기 접근
SSH 브루트 포스 공격으로 서버에 접속한 후 악성 스크립트를 업로드 - 악성 스크립트 역할
- SELinux, AppArmor, 방화벽 비활성화
- 로그 삭제 및 암호화폐 마이닝 프로세스 종료
- Alibaba 클라우드 보안 서비스를 제거
- 기존 암호화폐 마이닝 프로세스 제거 및 컨테이너 이미지 삭제
- 초기 접근
지속성 확보
- 크론잡(cron job) 을 설정하여 30분마다 원격 서버에서 스크립트를 다운로드하여 지속적인 감염 유지
- /root/.ssh/authorized_keys 파일을 수정하여 백도어 계정 추가
- 파일 속성 변경과 명령어 히스토리 삭제로 공격 흔적 은폐
배후 분석
TeamTNT는 2019년에 처음 등장하여 클라우드와 컨테이너 환경에서 암호화폐 마이닝 활동을 진행
2021년에는 공식적으로 활동을 종료했으나, 2022년 이후 여러 공격이 보고됨
이번 공격 캠페인은 기존 TTPs(전술, 기법, 절차) 와 유사하여 TeamTNT와 관련이 있다고 추정
보안 권고 사항
- SSH 접근에 대한 강력한 인증 방법 적용(예: 다중 인증)
- 서버 방화벽 및 보안 기능을 주기적으로 점검하고, 비정상적인 크론잡 탐지
- 로그 모니터링 및 루트킷 탐지 도구를 활용하여 악성 활동을 즉시 탐지하고 대응
'Kant's IT > Issue on IT&Security' 카테고리의 다른 글
| Vo1d 악성코드: 1.3백만 Android 기반 TV 박스 감염 (1) | 2024.09.23 |
|---|---|
| Microsoft, 미국 의료 부문 노리는 새로운 INC 랜섬웨어 경고 (3) | 2024.09.23 |
| 건설업계 타겟, FOUNDATION 소프트웨어 기본 자격 증명 악용 해킹 사례 분석 (1) | 2024.09.23 |
| 중국 해킹 조직 플랙스타이푼, 26만대 IoT 장비 봇넷 운영 적발 (0) | 2024.09.23 |
| 북한 해커, RustDoor 악성코드로 LinkedIn에서 암호화폐 사용자 타깃 (1) | 2024.09.23 |