스피닝얀이라는 이름의 캠페인이 유행하고 있다. 여러 클라우드 플랫폼을 기반으로 한 서버들이 휩쓸리고 있다. 클라우드 및 서버 담당자들의 할 일이 늘어나고 있다.
[보안뉴스 문가용 기자] 클라우드 서버들을 겨냥한 대규모 사이버 캠페인이 발견됐다. 취약하거나 설정이 잘못된 아파치 하둡(Apache Hadoop), 아틀라시안 컨플루언스(Atlassian Confluence), 도커(Docker), 레디스(Redis) 인스턴스들이 표적이 되고 있다고 하며, 공격에 성공한 후 공격자들은 암호화폐 채굴 코드를 심는다고 한다. 미래의 공격을 위해 리눅스 기반 리버스셸을 심는 경우들도 있었다.
[이미지 = gettyimagesbank]
보안 업체 카도시큐리티(Cado Security)에 의하면 공격자들은 흔히 나타나는 클라우드 설정 오류들을 주로 노린다고 한다. 그 외에 오래된 원격 코드 실행 취약점을 익스플로잇 하기도 한다는데, 대표적인 취약점은 CVE-2022-26134다. 카도시큐리티의 CTO인 크리스 도만(Chris Doman)은 “팀티엔티(TeamTNT)와 와치독(WatchDog)이라는 사이버 공격 단체가 생각난다”고 말한다. “그 두 조직도 클라우드의 설정 오류를 집요하게 파고드는 것으로 유명하거든요. 레디스와 도커가 주요 표적이고요.”
외부인이 클라우드의 잘못된 설정 상태를 찾아낸다는 건 그리 어려운 일이 아니다. 인터넷을 스캔하면 취약한 인스턴스들이 금방 발견된다. “설정 오류나 이미 알려진 취약점은 공격자 입장에서 너무나 쉬운 공격 대상입니다. 반대로 방어자 입장에서도 간단히 해결하고 예방할 수 있는 위협이죠. 즉 누가 먼저 찾아서 해결하느냐 혹은 공략하느냐의 경합이 벌어지는 곳이 바로 이 설정 오류와 취약점이라는 뜻이 됩니다.” 도만의 설명이다.
카도시큐리티의 분석가들은 이번 캠페인에 ‘스피닝얀(Spinning YARN)’이라는 이름을 붙였다. “저희가 설치한 도커 허니팟들에 불법적인 접근 시도가 급증했고, 그것을 분석하다가 스피닝얀 캠페인을 발견할 수 있었습니다. 추적하는 과정 중에 고언어 기반의 바이너리 네 개를 발견할 수 있었는데, 전부 이전에 발견되지 않았던 것이었습니다. 공격자들은 이 바이너리들을 이용해 네 가지 클라우드 플랫폼을 기반으로 한 서버들을 찾아내 공략하고 있었습니다.”
그 외에도 여러 가지 페이로드가 이번 캠페인에서 사용되고 있었다. “여러 개의 셸 스크립트들과 범용 리눅스를 공격하기 위한 바이너리들이 발견됐습니다. 공격자들은 최초 침투에 성공한 이후 이러한 도구들을 이용해 공격 지속성을 확보하거나 암호화폐 채굴 코드를 심는 등의 행위를 이어갔습니다. 한 번 침투한 것에 만족하지 않고, 지속적으로 피해자 시스템에 드나들 것을 목표로 삼았던 것입니다.”
이는 공격자들이 웹을 통해 접속이 가능한 자산에 침투하기 위해 얼마나 많은 고민을 하고 투자를 하는지를 잘 보여주는 사례라고 카도는 설명한다. “클라우드로 수많은 기업들이 옮겨가면서 생긴 허점들을 해커들은 빠르게 알아챘고, 그 허점을 확실하게 이용하는 수준에까지 이르렀습니다. 이건 그냥 그들이 천재라거나 실력이 뛰어나서 가능한 것이 아닙니다. 그만큼 많은 생각을 하고 많은 고민을 한다는 것이죠. 그래서 클라우드나 컨테이너 환경도, 기존의 온프레미스 환경이나 별반 다를 게 없는 위험한 곳이 되어가고 있습니다.”
또한 암호화폐 채굴 코드가 공격에 활용되는 사례가 늘어나고 있다는 것도 주목해야 할 일이라고 카도는 짚는다. “룻키트, 시스템 설정 변경, ELF 바이너리 등 다양한 것들을 활용하여 침해에 성공한 공격자들이 대체로 하는 것이 모네로를 채굴하는 겁니다. 이번 캠페인도 마찬가지 양상이 눈에 띕니다. 암호화폐의 가치가 올라가면서 공격자들의 목적이 하나로 모이는 분위기입니다. 서버 관리자들은 채굴 행위를 모니터링 하는 게 안전할 겁니다.”
3줄 요약
1. 클라우드 기반 서버들을 노리는 공격이 대거 진행되고 있음.
2. 설정 오류와 잘 알려진 취약점을 노리는 방식이 대부분.
3. 궁극적인 목적은 암호화폐 채굴인 경우가 많음.
[국제부 문가용 기자(globoan@boannews.com)]
[보안뉴스 문가용 기자] 클라우드 서버들을 겨냥한 대규모 사이버 캠페인이 발견됐다. 취약하거나 설정이 잘못된 아파치 하둡(Apache Hadoop), 아틀라시안 컨플루언스(Atlassian Confluence), 도커(Docker), 레디스(Redis) 인스턴스들이 표적이 되고 있다고 하며, 공격에 성공한 후 공격자들은 암호화폐 채굴 코드를 심는다고 한다. 미래의 공격을 위해 리눅스 기반 리버스셸을 심는 경우들도 있었다.
[이미지 = gettyimagesbank]
보안 업체 카도시큐리티(Cado Security)에 의하면 공격자들은 흔히 나타나는 클라우드 설정 오류들을 주로 노린다고 한다. 그 외에 오래된 원격 코드 실행 취약점을 익스플로잇 하기도 한다는데, 대표적인 취약점은 CVE-2022-26134다. 카도시큐리티의 CTO인 크리스 도만(Chris Doman)은 “팀티엔티(TeamTNT)와 와치독(WatchDog)이라는 사이버 공격 단체가 생각난다”고 말한다. “그 두 조직도 클라우드의 설정 오류를 집요하게 파고드는 것으로 유명하거든요. 레디스와 도커가 주요 표적이고요.”
외부인이 클라우드의 잘못된 설정 상태를 찾아낸다는 건 그리 어려운 일이 아니다. 인터넷을 스캔하면 취약한 인스턴스들이 금방 발견된다. “설정 오류나 이미 알려진 취약점은 공격자 입장에서 너무나 쉬운 공격 대상입니다. 반대로 방어자 입장에서도 간단히 해결하고 예방할 수 있는 위협이죠. 즉 누가 먼저 찾아서 해결하느냐 혹은 공략하느냐의 경합이 벌어지는 곳이 바로 이 설정 오류와 취약점이라는 뜻이 됩니다.” 도만의 설명이다.
카도시큐리티의 분석가들은 이번 캠페인에 ‘스피닝얀(Spinning YARN)’이라는 이름을 붙였다. “저희가 설치한 도커 허니팟들에 불법적인 접근 시도가 급증했고, 그것을 분석하다가 스피닝얀 캠페인을 발견할 수 있었습니다. 추적하는 과정 중에 고언어 기반의 바이너리 네 개를 발견할 수 있었는데, 전부 이전에 발견되지 않았던 것이었습니다. 공격자들은 이 바이너리들을 이용해 네 가지 클라우드 플랫폼을 기반으로 한 서버들을 찾아내 공략하고 있었습니다.”
그 외에도 여러 가지 페이로드가 이번 캠페인에서 사용되고 있었다. “여러 개의 셸 스크립트들과 범용 리눅스를 공격하기 위한 바이너리들이 발견됐습니다. 공격자들은 최초 침투에 성공한 이후 이러한 도구들을 이용해 공격 지속성을 확보하거나 암호화폐 채굴 코드를 심는 등의 행위를 이어갔습니다. 한 번 침투한 것에 만족하지 않고, 지속적으로 피해자 시스템에 드나들 것을 목표로 삼았던 것입니다.”
이는 공격자들이 웹을 통해 접속이 가능한 자산에 침투하기 위해 얼마나 많은 고민을 하고 투자를 하는지를 잘 보여주는 사례라고 카도는 설명한다. “클라우드로 수많은 기업들이 옮겨가면서 생긴 허점들을 해커들은 빠르게 알아챘고, 그 허점을 확실하게 이용하는 수준에까지 이르렀습니다. 이건 그냥 그들이 천재라거나 실력이 뛰어나서 가능한 것이 아닙니다. 그만큼 많은 생각을 하고 많은 고민을 한다는 것이죠. 그래서 클라우드나 컨테이너 환경도, 기존의 온프레미스 환경이나 별반 다를 게 없는 위험한 곳이 되어가고 있습니다.”
또한 암호화폐 채굴 코드가 공격에 활용되는 사례가 늘어나고 있다는 것도 주목해야 할 일이라고 카도는 짚는다. “룻키트, 시스템 설정 변경, ELF 바이너리 등 다양한 것들을 활용하여 침해에 성공한 공격자들이 대체로 하는 것이 모네로를 채굴하는 겁니다. 이번 캠페인도 마찬가지 양상이 눈에 띕니다. 암호화폐의 가치가 올라가면서 공격자들의 목적이 하나로 모이는 분위기입니다. 서버 관리자들은 채굴 행위를 모니터링 하는 게 안전할 겁니다.”
3줄 요약
1. 클라우드 기반 서버들을 노리는 공격이 대거 진행되고 있음.
2. 설정 오류와 잘 알려진 취약점을 노리는 방식이 대부분.
3. 궁극적인 목적은 암호화폐 채굴인 경우가 많음.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.png){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
