Docker 서버, 진행 중인 크립토마이닝 악성코드 캠페인 통해 해킹돼

Docker servers hacked in ongoing cryptomining malware campaign

 

Linux 서버의 Docker API가 Lemon_Duck 봇넷 운영자의 대규모 Monero 암호화 채굴 캠페인의 타깃이 되고 있는 것으로 나타났습니다.

 

크립토마이닝 그룹은 보안이 취약하거나 잘못 구성된 Docker 시스템을 끊임없이 공격해왔으며, 최근 몇 년 동안 대규모 악용 캠페인이 여러 차례 보고되었습니다.

 

특히 LemonDuck은 이전에 취약한 Microsoft Exchange 서버를 주로 악용해왔으며, 그 전에는 SSH 브루트포싱 공격을 통해 Linux 시스템, SMBGhost에 취약한 Windows 시스템, Redis 및 Hadoop 인스턴스를 실행하는 서버를 노렸습니다.

 

금일 발표된 Crowdstrike 보고서에 따르면, 현재 진행 중인 Lemon_Duck 캠페인의 배후에 있는 공격자는 프록시 풀 뒤에 그들의 지갑을 숨기고 있었습니다.

 

캠페인 관련 자세한 정보

 

Lemon_Duck은 노출된 Docker API에 대한 액세스 권한을 얻고 악성 컨테이너를 실행하여 PNG 이미지로 위장한 Bash 스크립트를 받아옵니다.

 

 

<이미지 출처: https://www.crowdstrike.com/blog/lemonduck-botnet-targets-docker-for-cryptomining-operations/>

<악성 cronjob 추가>

 

 

이 페이로드는 컨테이너에 cronjob을 생성해 아래 작업을 수행하는 Bash 파일(a.asp)을 다운로드합니다.

 

- 알려진 마이닝 풀, 경쟁 크립토마이닝 그룹 등의 이름을 기반으로 한 프로세스를 종료

- crond, sshd, syslog 등과 같은 데몬 종료

- 알려진 IoC 파일 경로 삭제

- 경쟁 크립토마이닝 그룹에 속하는 알려진 C2에 대한 네트워크 연결 종료

- 위험한 활동으로부터 인스턴스를 보호하는 Alibaba Cloud의 모니터링 서비스 비활성화

  

 

Alibaba Cloud 서비스의 보호 기능 비활성화는 2021년 11월 익명 공격자가 사용한 크립토마이닝 악성코드에서 발견되었습니다.

 

Bash 스크립트는 위 작업을 실행한 후 프록시 풀 뒤에 공격자의 지갑을 숨기는 구성 파일과 함께 크립토마이닝 유틸리티인 XMRig를 다운로드 후 실행합니다.

 

처음에 감염시킨 시스템에서 채굴하기로 설정된 후, Lemon_Duck은 파일 시스템에서 발견한 SSH 키를 활용해 측면 이동을 시도합니다. 가능할 경우 공격자는 이를 통해 동일한 감염 프로세스를 반복합니다.

 

공격에 대비하기 위해 Docker API를 안전하게 구성해야 할 필요가 있으며, 관리자는 해당 플랫폼의 모범 사례 및 보안 권장 사항을 확인하는 것이 좋습니다.

 

또한 모든 컨테이너에 리소스 소비 제한을 설정하고 엄격한 이미지 인증 정책 및 최소 권한 원칙을 적용할 것을 권장합니다.

 

 

 

 

출처:

https://www.bleepingcomputer.com/news/security/docker-servers-hacked-in-ongoing-cryptomining-malware-campaign/

https://www.crowdstrike.com/blog/lemonduck-botnet-targets-docker-for-cryptomining-operations/