0xNews - 리눅스 서버를 노리는 채굴 공격 캠페인 경고
0xNews - 리눅스 서버를 노리는 채굴 공격 캠페인 경고
Microsoft Security Intelligence 트위터를 통해 공개
https://twitter.com/MsftSecIntel/status/1542281805549764608
8220 으로 지정되어 추적되는 클라우드 위협 행위자 그룹은 장기간 지속적인 공격 캠페인 수행
리눅스 서버를 노리는 암호화폐 채굴기 crypto miners 를 설치하는 악성 프로그램 도구 세트 업데이트 확인
업데이트에는 새로운 버전의 채굴기와 IRC 봇 배포가 포함
해당 그룹은 지난 1년 동안 기술과 탑재량을 적극적으로 업데이트 실시
8220 은 2017년 초부터 활동했으며 중국어를 사용하는 모레노 Monero 채굴 위협 행위자
포트 8220 을 통해 C&C command-and-control 서버와 통신하는 것을 선호하기 때문에 이와 같이 명명
whatMiner 라는 도구 개발과 Rock 사이버 범죄 그룹 공격에도 참여
2019년 7월 알리바바 클라우드 보안팀에서 루트킷을 사용하여 채굴기를 숨긴다는 점을 지적하면서 공격자의 변화를 확인
알리바바 클라우드 Alibaba Cloud 발표 자료 링크
https://www.alibabacloud.com/blog/8220-mining-group-now-uses-rootkit-to-hide-its-miners_595055
2년 후인 2019년 Tsunami IRC 봇넷 변종과 맞춤형 채굴기 PwnRig 로 다시 등장
LaceWork 에서 8220 추적 관련 발표 자료 링크
https://www.lacework.com/blog/8220-gangs-recent-use-of-custom-miner-and-botnet/
CVE-2022-26134 지정된 Atlassian Confluence Server
CVE-2019-2725 지정된 Oracle WebLogic 등 2개 취약점을 대상으로 i686 이나 x86_64 리눅스 시스템을 공격하는 캠페인으로 확인
취약점 공격이 성공하면 원격 코드 실행 RCE Remote Code Execution 익스플로잇을 무기화하는 것으로 관찰
이 단계에서 PwnRig 채굴기와 IRC 봇을 삭제하도록 설계된 원격 서버에서 맬웨어 로도를 검색하는 것으로 이어짐
cron 작업을 통해 지속적으로 공격 수행
로더는 IP포트 스캐너 도구인 masscan 을 사용하여 네트워크에서 다른 SSH 서버를 확인
goLang 으로 만들어진 SSH brute force 도구인 spirit 를 사용하여 전파 시도
CVE-2022-26134 취약점을 통해 약 6,000개 IP 에서 매일 꾸준히 20,000건 악용 시도 확인
이 중 67% 공격 출처는 미국
현재까지 확인된 공격 시나리오는 취약점 조사에서 대상 시스템이 웹셀과 채굴기와 같은 맬웨어 주입에 취약한지 여부를 확인하여 전파
댓글
댓글 쓰기
글과 상관없는 댓글 작성은 발견 즉시 삭제합니다.