2024-03-29 03:25 (금)
오래 된 취약점 악용해 리눅스 서버 공격...가상화폐 채굴에 이용
상태바
오래 된 취약점 악용해 리눅스 서버 공격...가상화폐 채굴에 이용
  • 길민권 기자
  • 승인 2018.03.29 01:25
이 기사를 공유합니다

CVE-2013-2618 취약점 악용해 리눅스 서버 공격하는 새로운 가상 화폐 채굴 캠페인 발견

b-7.jpg
보안연구원들이 Cacti의 Network Weathermap 플러그인에 존재하는 CVE-2013-2618 취약점을 악용해 리눅스 서버를 공격하는 새로운 가상 화폐 채굴 캠페인을 발견했다. 이 플러그인은 시스템 관리자들이 네트워크 활동을 확인하기 위해 주로 사용하는 것이다.

사이버 범죄자들은 취약한 리눅스 서버들에 모네로 채굴기를 설치해 약 7만5천 달러의 수익을 올렸다.

연구원들은 공격자들이 오래 된 보안 결점을 악용한 이유에 대해 “지금까지 공개 된 Network Weathermap의 취약점은 지난 2014년 6월에 발견 된 취약점 단 2개다. 공격자들은 이 취약점의 악용이 용이할 뿐만 아니라, 해당 오픈소스 툴을 사용하는 조직들이 패치를 지연시키고 있기 때문에 이를 악용한 것으로 보인다”고 밝혔다.

이 결함은 공격자가 취약한 시스템에서 임의의 코드를 실행하는데 악용될 수 있다. 이번 경우, 해커들은 정식 모네로 채굴 소프트웨어인 XMRing의 커스텀 버전을 다운로드 및 설치했다. XMRig는 리눅스, 윈도우 32비트, 64비트 버전 모두를 지원한다.

지속성을 확보하기 위해 해커들은 로컬 크론 작업이 매 3분 마다 “watchd0g” 배시 스크립트를 트리거링 하도록 수정했다. 이 스크립트는 모네로 채굴기가 살아있는지 확인하고, 중단 되었을 경우 재시작한다.

연구원들이 악성코드 샘플 5개를 분석한 결과, 채굴 된 가상화폐가 보내지는 모네로 지갑과 연결 되는 로그인 계정 명 2개를 발견했다.

연구원들에 따르면 해커들은 약 320XMR(약 7만5천 달러)을 벌어들였으며 대부분의 리눅스 서버들은 일본(12%), 중국(10%), 대만(10%), 미국(9%)에 위치해 있었다.

연구원들은 Cacti의 환경 데이터를 내부에 보관하고 시스템 버전을 항상 최신으로 유지하기를 권고했다. [정보. 이스트시큐리티]

★정보보안 대표 미디어 데일리시큐!★


■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★