Docker servers hacked in ongoing cryptomining malware campaign Linux 서버의 Docker API가 Lemon_Duck 봇넷 운영자의 대규모 Monero 암호화 채굴 캠페인의 타깃이 되고 있는 것으로 나타났습니다. 크립토마이닝 그룹은 보안이 취약하거나 잘못 구성된 Docker 시스템을 끊임없이 공격해왔으며, 최근 몇 년 동안 대규모 악용 캠페인이 여러 차례 보고되었습니다. 특히 LemonDuck은 이전에 취약한 Microsoft Exchange 서버를 주로 악용해왔으며, 그 전에는 SSH 브루트포싱 공격을 통해 Linux 시스템, SMBGhost에 취약한 Windows 시스템, Redis 및 Hadoop 인스턴스를 실행하는 서버를 노렸습니다. 금일 발표..

국내외 보안동향 2022. 4. 22. 14:00

TeamTNT hackers target your poorly configured Docker servers TeamTNT 해킹 그룹이 지난 달 시작되어 현재도 진행 중인 캠페인을 통해 잘못 구성된 Docker 서버를 적극적으로 공격하고 있는 것으로 나타났습니다. TrendMicro 연구원이 공개한 보고서에 따르면, 공격자들의 목표는 세 가지로 뚜렷합니다. 모네로 크립토마이너를 설치하고, 인터넷에 노출된 다른 취약한 Docker 인스턴스를 탐색하고, 메인 네트워크에 접근하기 위해 컨테이너-호스트간 탈출을 수행하는 것입니다. 아래 흐름도와 같이, 공격은 노출된 Docker REST API를 사용하여 취약한 호스트에 컨테이너를 생성하는 것으로 시작됩니다. 그런 다음 TeamTNT는 해킹되었거나 공격자가 제어..

국내외 보안동향 2021. 11. 10. 09:00

TeamTNT botnet now steals Docker API and AWS credentials Trend Micro의 연구원들이 TeamTNT 봇넷이 개선되어 Docker 크리덴셜을 훔치려 시도하고 있다고 밝혔습니다. TeamTNT 봇넷은 설치된 Docker를 노리는 크립토마이닝 악성코드로 2020년 4월부터 활동해왔습니다. 하지만 Cado Security의 전문가들은 지난 8월 이 봇넷이 잘못 구성된 Kubernete를 노릴 수도 있다고 밝혔습니다. 이 봇은 AWS 서버에서 실행되는 Docker와 Kubernetes 시스템을 감염시킨 후 AWS CLI에서 암호화되지 않은 파일 내부에 크리덴셜과 구성 정보를 저장하는 경로인 ~/.aws/credentials와 ~/.aws/config를 스캔합니다...

국내외 보안동향 2021. 1. 11. 14:00

A scan of 4 Million Docker images reveals 51% have critical flaws 컨테이너 보안 회사인 Prevasio가 Docker Hub에 호스팅된 공개 Docker 컨테이너 이미지 400만 건을 분석한 결과 이 중 대부분이 심각한 취약점을 가지고 있음을 발견했습니다. 이 보안 회사는 한달 동안 기기 800대에서 Prevasio Analyzer 서비스를 실행했습니다. 400만 이미지의 약 51%는 최소한 하나 이상의 심각한 취약점이 포함된 패키지나 앱 종속성을 포함하고 있었으며, 13%는 위험도 높은 취약점을 포함하고 있었습니다. “동적 분석 결과, 악성 이미지와 잠재적으로 유해한 컨테이너 이미지 5,432건이 발견되어 Docker Hub에 공개된 전체 이미지의 약..

국내외 보안동향 2020. 12. 4. 14:00

Cryptojacking worm steals AWS credentials from Docker systems TeamTNT로 알려진 사이버 범죄 그룹이 크립토마이닝 웜을 통해 해킹된 Docker 및 Kubernetes 시스템에서 평문 상태의 AWS 크리덴셜 및 설정 파일을 훔치고 있는 것으로 나타났습니다. TeamTNT의 가상화폐 마이닝 봇넷은 지난 5월 MalwareHunterTeam이 처음으로 발견했으며 잘못 구성된 Docker 콘테이너와의 관련성을 발견한 Trend Micro 연구원들이 추가로 분석했습니다. Cado Security의 연구원들에 따르면, 이는 지극히 평범한 크립토마이닝 모듈 위에 AWS 크리덴셜 탈취 기능과 함께 제공되는 최초의 웜입니다. 이 봇넷은 노출된 Docker API를 찾..

국내외 보안동향 2020. 8. 19. 09:00

Undetectable Linux Malware Targeting Docker Servers With Exposed APIs 사이버 보안 연구원들이 알려지지 않은 기술을 통해 레이더를 피하고 AWS, Azure, Alibaba Cloud 등 인기 있는 클라우드 플랫폼에서 호스팅되는 공개적 접근 가능한 Docker 서버를 노리는 탐지가 완전히 불가능한 리눅스 악성코드를 발견했습니다. Docker는 개발자가 ‘컨테이너’라는 격리된 환경에서 애플리케이션을 생성, 테스트, 실행할 수 있도록 하는 인기 있는 리눅스 및 윈도우용 서비스형 플랫폼(PaaS: platform-as-a-service) 솔루션입니다. Intezer의 최근 연구에 따르면, 인터넷에서 잘못 구성된 Docker API 엔드포인트 스캐닝하는 Ng..

국내외 보안동향 2020. 7. 29. 10:11

Crooks exploit exposed Docker APIs to build AESDDoS botnet 사이버 범죄자들이 DevOps 툴인 Docker Engine 커뮤니티의 오픈소스 버전에 존재하는 잘못 구성된 API 설정을 악용하여 Docker 컨테이너에 침투하려 한 정황이 발견되었습니다. 공격자들은 해당 API 설정을 악용해 리눅스 봇인 AESDDoS를 실행하려 시도하고 있는 것으로 나타났습니다. 공격자들은 포트 2375에서 인터넷에 노출된 Docker API를 활발히 스캐닝하고 있으며, AESDDoS 트로이목마를 드롭하는 악성코드를 전달하는데 사용됩니다. Trend Micro는 공격자는 특정 IP 범위에 TCP SYN 패킷을 포트 2375에 보내는 방식으로 외부 스캔을 수행하고 있으며, 2375..

국내외 보안동향 2019. 6. 17. 14:29

Unpatched Flaw Affects All Docker Versions, Exploits Ready 모든 Docker 버전에서 공격자가 악용할 경우, 호스트 시스템 내 모든 파일을 읽고 쓸 수 있게 되는 레이스 컨디션(Race Condition) 결함이 발견되었습니다. 이 결함은 CVE-2018-15664로 등록되었으며, PoC 코드 또한 공개된 상태입니다. 해당 결함은 리소스 확인이 완료된 이후 할당된 프로그램이 해당 리소스를 사용하기 전, 리소스의 경로를 수정할 수 있는 기회를 해커들에게 제공합니다. 이는 TOCTOU(Time to Check Time to Use) 버그로 알려져 있습니다. 호스트 파일 액세스 이 취약점은 기본 TOCTOU 공격에 취약한 FollowSymlinkInScope 함수..

국내외 보안동향 2019. 5. 30. 14:28