새로운 브루트포스 툴 활용한 리눅스 크립토재킹 공격

 

 

Researchers Warn of Linux Cryptojacking Attackers Operating from Romania

 

루마니아에서 운영되고, 최소 2020년부터 활동 중인 것으로 보이는 한 공격 그룹이 Golang으로 작성된 새로운 SSH 브루트포서를 이용하여 리눅스 기반 기기를 대상으로 크립토재킹 공격을 실행하고 있는 것으로 나타났습니다.

 

Bitdefender의 연구원들은 "Diicot brute"라 명명된 이 비밀번호 크래킹 툴이 서비스형 소프트웨어(software-as-a-service) 모델을 통해 배포되며, 각 공격자는 용이한 침투를 위해 고유한 API 키를 제공한다고 밝혔습니다.

 

이 캠페인의 목표는 브루트포싱 공격을 통해 원격으로 기기를 해킹해 모네로 암호화폐를 채굴하는 악성코드를 배포하는 것이지만, 연구원들은 이 공격 그룹을 DDoS 봇넷 최소 2개와 연결시켰습니다. 여기에는 Demonbot의 변종인 Chernobyl과 Perl IRC 봇, 지난 2021년 2월부터 mexalz[.]us 도메인에서 호스팅되는 XMRig 마이닝 페이로드가 포함됩니다.

 

 

<이미지 출처 : https://www.bitdefender.com/blog/labs/how-we-tracked-a-threat-group-running-an-active-cryptojacking-campaign>

 

 

BitDefender는 2021년 5월 해당 그룹의 사이버 활동에 대한 조사를 시작해 이후로 공격자의 공격 인프라와 툴킷을 발견할 수 있었다고 밝혔습니다.

 

또한 이 그룹은 탐지를 피하기 위해 난독화 기술을 사용하는 것으로도 알려져 있습니다.

 

이를 위해 Bash 스크립트가 셸 스크립트 컴파일러(shc)로 컴파일되며, 공격 체인은 디스코드를 활용하여 자신이 운영하는 채널에 정보를 다시 제공하는 것으로 밝혀졌습니다. 이 기술은 공격자가 C2 통신을 수행하고 보안을 피하기 위해 최근 들어 흔히 사용하고 있습니다.

 

데이터 유출을 위해 디스코드 플랫폼을 사용하면 공격자가 자신의 C2 서버를 직접 호스팅할 필요가 없으며, 악성 소스코드 및 서비스를 구매/판매하는 커뮤니티를 생성하는 것도 가능합니다.

 

연구원들은 아래와 같이 결론지었습니다.

 

“취약한 SSH 크리덴셜을 노리는 해커는 흔합니다. 가장 큰 보안 문제는 해커가 브루트포싱으로 쉽게 침투할 수 있도록 기본 사용자 이름과 암호를 사용하거나 취약한 자격 증명을 사용하는 것입니다.”

 

 

 

 

출처:

https://thehackernews.com/2021/07/researchers-warn-of-linux-cryptojacking.html

https://www.bitdefender.com/blog/labs/how-we-tracked-a-threat-group-running-an-active-cryptojacking-campaign