2024-03-29 09:40 (금)
새로운 킨싱 멀웨어 캠페인 포착…도커 서버들 타깃
상태바
새로운 킨싱 멀웨어 캠페인 포착…도커 서버들 타깃
  • 페소아 기자
  • 승인 2020.04.06 17:43
이 기사를 공유합니다

팔로알토네트웍스 자료.
팔로알토네트웍스 자료.

지난 몇달 동안 새로운 멀웨어 작전이 비밀번호 없이 인터넷에 노출된 API 포트를 실행하는 도커 서버를 검색했다. 그런 다음 해커는 보호되지 않은 호스트로 침입하여 킨싱(Kinsing)이라는 새로운 암호화폐 채굴 멀웨어를 설치했다.

클라우드 보안 회사 아쿠아 시큐리티(Aqua Security)의 지난 금요일 블로그 게시물에 따르면 작년에 시작된 캠페인이 여전히 진행중에 있다고 밝혔다.

이 공격은 도커 인스턴스를 대상으로 하는 멀웨어 캠페인 리스트 중 하나로 시스템이 손상될 경우 해커 그룹은 방대한 컴퓨팅 리소스에 무제한 접근이 가능하다.

아쿠아의 보안 연구원에 따르면 해커가 노출된 API 포트가 있는 도커 인스턴스를 찾으면 이 포트에서 제공하는 액세스를 사용하여 우분투 컨테이너를 가동하여 킨싱 악성코드를 다운로드, 설치한다.

이 악성코드의 주요 목적은 해킹된 도커 인스턴스에서 암호화폐를 채굴하는 것이지만 보조 기능도 함께 제공된다. 여기에는 로컬로 실행될 수 있는 다른 멀웨어를 제거하는 스크립트를 실행하는 동시에 회사 컨테이너 네트워크로 확산하기 위해 로컬 SSH 자격증명을 수집하여 동일한 멀웨어로 다른 클라우드 시스템을 감염시키는 스크립트가 포함된다.

아쿠아는 킨싱 멀웨어 공격이 여전히 진행중이라 도커 인스턴스의 보안 설정을 검토하고 온라인에 관리 API가 노출되지 않도록 하는 것이 좋다고 추천했다. 이러한 관리 엔드포인트는 온라인에 노출해야 하는 경우라면 방화벽 또는 VPN 게이트 뒤에 있어야 하고 사용하지 않을 때는 비활성화 해야 한다.

킨싱 악성 프로그램 캠페인은 도커 인스턴스를 대상으로한 암호화 채굴 봇넷의 공격 목록 중 가장 최근의 것이다.

이러한 공격은 2018년 봄에 처음 시작되었고 아쿠아와 시스디그(Sysdig)는 당시 도커 시스템에 대한 공격을 탐지한 최초의 회사다. 그 후 다른 공격들과 악성코드가 뒤를 이었다.

★정보보안 대표 미디어 데일리시큐!★

■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★