Home > 전체기사

오톰 암호화폐 채굴 캠페인, 2019년부터 지금까지 계속 이어져

  |  입력 : 2021-12-30 15:40
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
암호화폐 채굴자들은 신기술이나 새로운 취약점을 가장 먼저 ‘현금화’시키는 부류들 중 하나다. 체포될 리스크가 낮아서일까, 기술 연구에 많은 시간을 할애할 수 있는 것으로 보인다.

[보안뉴스 문가용 기자] 2019년부터 계속해서 진행된 암호화폐 채굴 캠페인이 처음으로 공개됐다. 보안 업체 아쿠아시큐리티(Aqua Security)가 3년간의 추적 결과를 발표하면서였다. 아쿠아시큐리티가 설치한 허니팟에 84건의 공격이 탐지됐었는데, 2021년 3사분기에만 실제 피해를 일으킨 공격이 125건 발견되었다고 한다. 공격이 매우 거세다는 뜻이라고 아쿠아 측은 경고한다.

[이미지 = utoimage]


이 캠페인은 alpine:latest라고 하는 레퍼런스 이미지(혹은 바닐라 이미지)와 관련이 깊다. 이 레퍼런스 이미지가 실행될 때 악성 명령이 실행되도록 하는 것이 이번 캠페인의 주요한 전략이다. 악성 명령이란, autom.sh라는 셸 스크립트가 다운로드 되도록 만드는 것을 말한다.

아쿠아시큐리티는 보고서를 통해 이에 대해 다음과 같이 설명했다. “공격자들은 바닐라 이미지 사용해 자신들이 원하는 악성 명령이 실행되도록 합니다. 바닐라 이미지 혹은 레퍼런스 이미지는 공식 이미지이기 때문에 신뢰도가 높고, 검사 없이 실행될 때가 많습니다. 공격자들이 악성 명령을 주입했지만 그 동안 검사되지 않았습니다. 예전에 비해 autom.sh가 다운로드 되는 서버가 바뀌었을 뿐, 명령 자체도 그대로 남아 있습니다.”

바닐라 이미지를 신뢰한 피해자가 다운로드 받아 실행하면 autom.sh 스크립트가 실행되는데, 여기서부터 감염 사슬이 시작된다. 공격자는 이를 통해 akay라는 새로운 사용자 계정을 생성할 수 있게 된다. 그리고 권한을 루트로까지 높인다. 권한이 높아졌으니 아무 명령이나 실행할 수 있게 된다. 여기서 공격자들은 암호화폐 채굴과 관련된 명령들을 실행한다.

2019년 이 캠페인이 처음 실행되었을 때는 채굴 활동을 감추기 위한 별다른 시도가 발견되지 않았었다. 하지만 캠페인 운영자들은 자신들의 공격을 감추기 위해 많은 투자를 이뤄갔다. 그 중 하나는 피해자 시스템 내 설치된 보안 장치들을 무력화시키는 것이었다. 또 자신들의 채굴용 셸 스크립트를 베이스64(Base64)로 무려 5번이나 암호화 하여 보안 장치들로부터 들키지 않도록 만들었다.

이렇게 암호화폐를 채굴하기 위해 도커 이미지를 악용하는 단체들 중 유명한 건 킨싱(Kinsing)과 팀티엔티(TeamTNT)가 있다. 이중 팀티엔티는 레디스(Redis) 데이터베이스 서버, 알리바바 엘라스틱 컴퓨팅 서비스(ECS) 인스턴스, 도커 API, 큐버네티스 클러스터의 잘못된 설정을 악용하는 것이 여러 차례 목격됐다. 최근의 클라우드 컴퓨팅 관련 기술과 생태계를 대단히 높은 수준에서 활용할 줄 안다는 뜻이다.

암호화폐 채굴 공격자들은 각종 신기술과 새 취약점, 새 익스플로잇에 가장 빠르게 움직이는 부류들 중 하나다. 최근 로그4j(Log4j) 로깅 라이브러리에서 발견된 취약점들도 암호화폐 채굴자들이 가장 빨리 익스플로잇 하기 시작했다는 보고와 보도가 여기저기서 나오고 있기도 하다. 큐냅(QNAP)에서 만든 NAS 장비들을 이용한 암호화폐 채굴 캠페인도 이번 달 초 발견된 바 있다.

“암호화폐 채굴은 사이버 공격자들에게 있어 리스크가 매우 낮은 수익 창출법입니다. 솔직히 암호화폐 채굴자들을 체포하고 잡아내려고 사법 기관이나 보안 전문가들이 뛰어다니지 않습니다. 랜섬웨어 운영자나 APT 단체들에 비해서는 죄질이 가벼워 보이죠. 암호화폐 채굴자들에게 있어 가장 큰 위험은, 다른 암호화폐 채굴자들입니다. 암호화폐 채굴 공격자들은 시스템에 침투한 뒤 다른 암호화폐 채굴 소프트웨어들을 지워내는 것부터 하거든요.”

이번 캠페인에는 오톰(Autom)이라는 이름이 붙었다. 아쿠아 측은 “공격자들의 기술력이 계속해서 높아지고 있다”며 “각종 보안 도구들을 뚫어내고 무력화시키는 새로운 방법들이 날마다 나오는 것처럼 보일 정도”라고 말한다. 그러므로 “수상한 컨테이너 관련 행위들을 모니터링하고 동적 이미지 분석을 진행해야 한다”고 아쿠아 측은 경고한다.

3줄 요약
1. 컨테이너 생태계의 레퍼런스 이미지 건드린 공격자들.
2. 레퍼런스 이미지 사용해 악성 명령 시스템에 전달해 실행.
3. 최종 목적은 암호화폐 채굴.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
에스케어 파워비즈 배너 2022년 3월15일 시작~ 12개월 위즈디엔에스 2018 파워비즈배너 시작 11월6일 20181105-20200131
설문조사
올해 기업에서의 클라우드 도입이 본격 확산될 것으로 보이는 가운데 이에 따른 보안 이슈도 부각되고 있습니다. 클라우드 보안 강화를 위한 방안으로 가장 주목 받을 솔루션은 무엇이라고 보시나요?
CASB(Cloud Access Security Broker, 클라우드 접근 보안중개)
CSPM(Cloud Security Posture Management, 클라우드 보안 형상 관리)
CWPP(Cloud Workload Protection Platform, 클라우드 워크로드 보호 플랫폼)
기타(댓글로)