Researchers Warn of Linux Cryptojacking Attackers Operating from Romania
루마니아에서 운영되고, 최소 2020년부터 활동 중인 것으로 보이는 한 공격 그룹이 Golang으로 작성된 새로운 SSH 브루트포서를 이용하여 리눅스 기반 기기를 대상으로 크립토재킹 공격을 실행하고 있는 것으로 나타났습니다.
Bitdefender의 연구원들은 "Diicot brute"라 명명된 이 비밀번호 크래킹 툴이 서비스형 소프트웨어(software-as-a-service) 모델을 통해 배포되며, 각 공격자는 용이한 침투를 위해 고유한 API 키를 제공한다고 밝혔습니다.
이 캠페인의 목표는 브루트포싱 공격을 통해 원격으로 기기를 해킹해 모네로 암호화폐를 채굴하는 악성코드를 배포하는 것이지만, 연구원들은 이 공격 그룹을 DDoS 봇넷 최소 2개와 연결시켰습니다. 여기에는 Demonbot의 변종인 Chernobyl과 Perl IRC 봇, 지난 2021년 2월부터 mexalz[.]us 도메인에서 호스팅되는 XMRig 마이닝 페이로드가 포함됩니다.
BitDefender는 2021년 5월 해당 그룹의 사이버 활동에 대한 조사를 시작해 이후로 공격자의 공격 인프라와 툴킷을 발견할 수 있었다고 밝혔습니다.
또한 이 그룹은 탐지를 피하기 위해 난독화 기술을 사용하는 것으로도 알려져 있습니다.
이를 위해 Bash 스크립트가 셸 스크립트 컴파일러(shc)로 컴파일되며, 공격 체인은 디스코드를 활용하여 자신이 운영하는 채널에 정보를 다시 제공하는 것으로 밝혀졌습니다. 이 기술은 공격자가 C2 통신을 수행하고 보안을 피하기 위해 최근 들어 흔히 사용하고 있습니다.
데이터 유출을 위해 디스코드 플랫폼을 사용하면 공격자가 자신의 C2 서버를 직접 호스팅할 필요가 없으며, 악성 소스코드 및 서비스를 구매/판매하는 커뮤니티를 생성하는 것도 가능합니다.
연구원들은 아래와 같이 결론지었습니다.
“취약한 SSH 크리덴셜을 노리는 해커는 흔합니다. 가장 큰 보안 문제는 해커가 브루트포싱으로 쉽게 침투할 수 있도록 기본 사용자 이름과 암호를 사용하거나 취약한 자격 증명을 사용하는 것입니다.”
출처:
https://thehackernews.com/2021/07/researchers-warn-of-linux-cryptojacking.html
리눅스 파일시스템 로컬 권한상승취약점(CVE-2021-33909) 주의! (0) | 2021.07.21 |
---|---|
HP, 삼성, 제록스 프린터 수백만 대에 영향을 미치는 보안 취약점 발견 (0) | 2021.07.21 |
iOS의 Wi-Fi 네이밍 취약점, 원격으로 아이폰 해킹 허용해 (0) | 2021.07.20 |
Hellokitty 랜섬웨어, 취약한 SonicWall 기기 노려 (0) | 2021.07.19 |
Linux Netfilter 권한상승 취약점(CVE-2021-22555) 주의! (0) | 2021.07.19 |
댓글 영역