젠킨스(Jenkins) 서버에 모네로 채굴 악성코드 설치해 3백만불 탈취한 해커그룹

해킹그룹이 젠킨스(Jenkins) 서버에 “JenkinsMiner”라 불리는 모네로 채굴 악성코드를 설치하여 3백40만 달러를 탈취한 사실이 밝혀졌습니다.

해커들은 여러 버전의 윈도우에서 XMRig 채굴 악성코드를 실행시켜 모네로 3백만 달러 이상을 탈취하였으며, 강력한 젠킨스 CI(Continuous Integration) 서버를 대상으로 공격을 수행함으로써 보다 많은 암호 화폐를 획득할 수 있었다고 덧붙였습니다.

젠킨스 서버는 가장 인기있는 오픈소스 자동화 서버로서  CloudBees와 젠킨스 커뮤니티를 통해 관리됩니다.

젠킨스는 개발자들에게 젠킨스 애플리케이션의 빌드, 테스트, 배포를 지원하고, 전 세계 적으로 133,000개 이상의 서버와 백만명 이상의 사용자를 보유하고 있습니다.

<이미지 출처 : http://securityaffairs.co/wordpress/69232/malware/jenkinsminer-targets-jenkins-servers.html>

 

연구원들에 따르면, 해커들은 젠킨스 자바의 역직렬화 과정에서 발생하는 원격 코드 실행 취약점(CVE-2017-1000353)을 이용했습니다.

해당 취약점은 직렬화된 개체의 유효성을 검증하지 않기 때문에 발생합니다. 공격자는 해당 취약점을 이용해 젠킨스 서버가 JenkinsMiner를 다운로드하여 설치하도록 만들 수 있습니다.

보안업체는 블로그에서 ‘해당 공격은 원격 코드 실행 취약점과 XMRig 채굴 기능을 조합하여 지난 몇 달 간 전 세계 수많은 사용자를 공격했다. 윈도우를 비롯한 여러 플랫폼에서 해당 채굴 악성코드가 실행되었고, 대부분의 피해자는 개인 PC 사용자인 것으로 보인다. 해당 악성코드는 일부 업데이트를 통해 해결되었고, 탈취한 코인을 옮기는 채굴 저장소 또한 변경되었다’고 전했습니다.

JenkinsMiner가 다운로드된 PC 대부분이 중국의 IP 주소로 나타났고, 화이안 시 정부 정보 센터가 사용하는 주소인 것으로 드러났습니다. 

물론, 해당 서버가 해킹을 당한 것인지, 국가가 지원하는 해커가 공격을 수행했는지는 확인되지 않습니다. 

<이미지 출처 : http://securityaffairs.co/wordpress/69232/malware/jenkinsminer-targets-jenkins-servers.html>

 

지난 1월, 보안 연구원 Mikail Tunç는 정보 유출 공격이 발생한 젠킨스 서버에 대해 분석했습니다.

Tunç는 젠킨스가 코드 저장소에 대한 인증 정보를 요구하고, 코드를 배포할 환경(일반적으로 GitHub, AWS, Azure)에 액세스한다고 강조했습니다. 애플리케이션을 잘못 구성하면 데이터 탈취 위협에 노출 될 수 있습니다.

또한 잘못 구성된 다수의 시스템이 게스트와 관리자에게 디폴트 권한을 제공하고, 일부 시스템은 게스트와 관리자가 계정을 등록한 모든 사용자에게 접근할 수 있도록 허용한다고 밝혔습니다.

출처 :

http://securityaffairs.co/wordpress/69232/malware/jenkinsminer-targets-jenkins-servers.html