상세 컨텐츠

본문 제목

새로운 가상화폐 채굴 캠페인, 오래 된 취약점(cve-2013-2618) 악용해 리눅스 서버 공격해

국내외 보안동향

by 알약(Alyac) 2018. 3. 27. 15:43

본문

A new massive cryptomining campaign target Linux servers exploiting old flaw


연구원들이 Cacti의 Network Weathermap 플러그인에 존재하는 CVE-2013-2618 취약점을 악용해 리눅스 서버를 공격하는 새로운 가상 화폐 채굴 캠페인을 발견했습니다. 이 플러그인은 시스템 관리자들이 네트워크 활동을 확인하기 위해 주로 사용합니다.


사이버 범죄자들은 취약한 리눅스 서버들에 모네로 채굴기를 설치해 약 $75,000의 수익을 올렸습니다.


연구원들은 공격자들이 오래 된 보안 결점을 악용한 이유에 대해 “지금까지 공개 된 Network Weathermap의 취약점은 2014년 6월에 발견 된 취약점 단 2개입니다. 공격자들은 이 취약점의 악용이 용이할 뿐만 아니라, 해당 오픈소스 툴을 사용하는 조직들이 패치를 지연시키고 있기 때문에 이를 악용한 것으로 보입니다.”고 밝혔습니다.


이 결함은 공격자가 취약한 시스템에서 임의의 코드를 실행하는데 악용될 수 있습니다. 이번 경우, 해커들은 정식 모네로 채굴 소프트웨어인 XMRing의 커스텀 버전을 다운로드 및 설치했습니다. XMRig는 리눅스, 윈도우 32비트, 64비트 버전 모두를 지원합니다.


지속성을 확보하기 위해, 해커들은 로컬 크론 작업이 매 3분 마다 “watchd0g” 배시 스크립트를 트리거링 하도록 수정했습니다. 이 스크립트는 모네로 채굴기가 살아있는지 확인하고, 중단 되었을 경우 재시작 합니다.


연구원들이 악성코드 샘플 5개를 분석해본 결과, 채굴 된 가상화폐가 보내지는 모네로 지갑과 연결 되는 로그인 계정 명 2개를 발견했습니다.


연구원들에 따르면 해커들은 약 320XMR(약 $75,000)을 벌어들였으며 대부분의 리눅스 서버들은 일본 (12%), 중국 (10%), 대만 (10%), 미국 (9%)에 위치해 있었습니다.



<이미지 출처: https://blog.trendmicro.com/trendlabs-security-intelligence/cryptocurrency-miner-distributed-via-php-weathermap-vulnerability-targets-linux-servers/>


연구원들은 Cacti의 환경 데이터를 내부에 보관하고 시스템 버전을 항상 최신으로 유지하기를 권고했습니다.





출처 : 

http://securityaffairs.co/wordpress/70622/hacking/linux-servers-cryptomining.html

https://blog.trendmicro.com/trendlabs-security-intelligence/cryptocurrency-miner-distributed-via-php-weathermap-vulnerability-targets-linux-servers/



관련글 더보기

댓글 영역