New Cryptojacking Attack Targets Docker API to Create Malicious Swarm Botnet
New Cryptojacking Attack Targets Docker API to Create Malicious Swarm Botnet
Hackers exploit Docker API to build botnet, using Docker Swarm and cryptojacking malware to compromise cloud hosts.
thehackernews.com
- 공격 개요
- 사이버 보안 연구원들은 Docker Engine API를 표적으로 한 새로운 크립토재킹 캠페인을 발견. 공격자는 Docker 인스턴스를 악용해 Docker Swarm에 연결된 악성 봇넷을 형성
- 공격자는 Docker의 오케스트레이션 기능을 명령 및 제어(C2) 목적으로 사용
- 공격 방법
- 공격은 주로 노출된 Docker API 엔드포인트를 대상으로 masscan과 ZGrab 같은 인터넷 스캔 도구를 사용하여 취약한 서버를 식별
- 취약한 엔드포인트에서 Alpine 컨테이너를 생성한 후, 원격 서버에서 init.sh 스크립트를 다운로드하여 XMRig 암호화폐 채굴 프로그램을 실행
- 추가적으로 libprocesshider 루트킷을 사용해 채굴 프로세스를 숨겨 사용자가 탐지하기 어렵게 만듦
- 측면 이동 및 확산
- spread_docker_local.sh와 같은 스크립트를 사용해 Docker, Kubernetes, SSH 엔드포인트를 대상으로 측면 이동을 수행
- masscan과 zgrab을 통해 Docker Engine 및 Docker Swarm 관련 포트를 스캔하여 새로운 컨테이너를 생성해 웜(Worm) 방식으로 악성 소프트웨어를 확산
- spread_ssh.sh 스크립트는 SSH 서버를 손상시키고 공격자가 원격 접속을 유지할 수 있도록 새로운 사용자 및 SSH 키를 추가
- Docker Swarm 악용
- 공격자는 Docker Swarm에서 호스트를 분리하고 공격자 제어 하의 새로운 Swarm에 추가하여 봇넷을 구성
- 이를 통해 다수의 Docker 인스턴스를 중앙에서 통제하고 추가적인 악의적 행위를 수행 가능
- 사용된 추가 스크립트
- ar.sh: iptables 규칙을 수정하고 로그 및 cron 작업을 제거하여 탐지를 회피
- TDGINIT.sh: Docker 호스트에서 악성 컨테이너를 배포하고, 기존 Swarm에서 호스트를 제거 후 공격자 제어 Swarm에 추가
- pdflushs.sh: SSH 백도어 설치
- 공격 목적 및 동향
- 공격자는 Docker API 엔드포인트가 인증 없이 인터넷에 노출된 점을 악용해 광범위한 크립토재킹 공격을 수행
- TeamTNT라는 알려진 공격 그룹과 유사한 전술 및 절차가 사용됨
- Docker와 Kubernetes는 클라우드 기반 악성코드 그룹이 계속해서 악용하는 주요 대상임
- 다른 악성 캠페인과의 연관
- Elastic Security Labs에 따르면, 최근 Linux Apache 서버를 대상으로 한 공격에서도 비슷한 암호화폐 채굴 및 DDoS 공격이 감지됨
- REF6138 캠페인은 암호화폐 채굴, DDoS 공격을 포함해 진화하는 악성코드와 은밀한 통신 채널을 사용하는 복잡한 공격 형태를 보임
'Kant's IT > Issue on IT&Security' 카테고리의 다른 글
| Storm-0501: 하이브리드 클라우드 환경을 겨냥한 랜섬웨어 공격 확대 (1) | 2024.10.07 |
|---|---|
| Microsoft 365 보호의 중요성: 랜섬웨어 위협에 대비한 최적의 방어 (1) | 2024.10.07 |
| 디즈니 플러스 활성화 페이지 사칭 사기 사례 요약 (1) | 2024.10.07 |
| AI를 이용한 북한 해커의 공격에 대응하는 3가지 조치 (2) | 2024.10.07 |
| 비밀번호 보안 규칙 변화: 복잡한 규칙이 보안을 약화시킬 수 있다 (0) | 2024.10.07 |