0xNews - AWS 대상 암호화폐 채굴 캠페인 실행 공격자 적발

0xNews - AWS 대상 암호화폐 채굴 캠페인 실행 공격자 적발


Permiso 발표

https://permiso.io/blog/s/unmasking-guivil-new-cloud-threat-actor/


인도네이사 출신 공격자 그룹이 AWS Amazon Web Services EC2 Elastic Compute Cloud 인스턴스를 활용

불법 암호화 채굴 작업을 수행하는 것을 확인


2021년 11월 이 공격 그룹은 처음 탐지

클라우드 보안 회사 Permiso P0 Labs 는 이 그룹의 이름을 GUI-Vil 로 명명

이 그룹은 GUI Graphical User Interface 도구, 특히 S3 브라우저 v.9.5.5 초기 작업에 선호하는 것으로 확인

AWS 콘솔 접속 권한을 얻으려면 웹 브라우저를 통해 직접 작업을 수행



GUI-vil 에 의해 탑재된 공격 체인은 GitHub에 공개된 노출된 소스 코드 저장소에서 AWS키를 무기화하거나 원격 코드 실행 취약점 CVE-2021-22205 에 취약한 GitLab 인스턴스를 스캔 후 초기 접속 권한 획득

수신에 성공하면 권한 상승과 내부 정찰로 이어져 사용 가능한 모든 S3 버킷을 검토

AWS 웹 콘솔을 통해 접속할 수 있는 서비스를 결정


공격자의 작업 방식에서 주목할 측면은 동일한 명명 규칙을 준수

궁극적으로 목표를 달성하는 새로운 사용자를 생성하여 피해자 환경 내에서 지속하기 위한 시도

GUI-vil 은 생성 중인 새 ID에 대한 접속키도 생성

신규 사용자와 함께 S3 Browser 를 계속 사용할 수 있음

또는 이 그룹은 위험 신호를 발생하지 않고 AWS 콘솔에 접속할 수 있도록 로그인 프로필이 없는 기존 사용자를 위해 로그인 프로필을 생성하는 것도 발견


GUI-vil이 인도네시아 활동을 확인한 것은 관련된 소스 IP 주소가 동남아시아 국가에 위치한 두개의 ASN Autonomous System Number 에 연결되어 있다는 것을 확인


이 그룹은 금전적인 이익을 추진하고 있는 주요 임무는 EC2 인스턴스를 생성

암호화폐 채굴 활동을 용이하게 하는 것

대부분의 경우 암호화폐 채굴로 얻은 이익은 피해자 조직이 EC2 인스턴스를 실행하기 위해 지불해야 하는 비용의 일부에 불과함


댓글

댓글 쓰기

글과 상관없는 댓글 작성은 발견 즉시 삭제합니다.

이 블로그의 인기 게시물

0xNews - 4가지 새로운 HTTP request 스몰딩 Smuggling 공격 발견

이미지
0xNews - 4가지 새로운 HTTP request 스몰딩 Smuggling 공격 발견 SafeBreach 연구팀의 BlackHat USA 2020 발표 https://www.blackhat.com/us-20/briefings/schedule/#http-request-smuggling-in-2020--new-variants-new-defenses-and-new-challenges-20019 SafeBreach 사이트 추가 링크 https://safebreach.com/Post/SafeBreach-Experts-Showcasing-Research-with-New-Exploits-at-Black-Hat-2020 HTTP request smuggling 은 웹 서버와 HTTP 프록시 서버가 처음 문서화된 이후 15년이 지난 후에도 취약한 방식이 있음을 확인 HTTP request smuggling 혹은 HTTP 비동기화 Desyncing 공격은 웹 사이트가 하나 이상의 사용자로부터 수신한 HTTP request 시퀸스를 처리하는 방식을 방해하는데 사용되는 기술 HTTP request smuggling 과 관련된 취약점은 일반적으로 프론트엔드, 로드밸런서, 프록시와 백엔드 서버가 HTTP request 의 경계를 다르게 해석 악의적인 행위자가 모호한 것을 보낼 수 있게 유발 정상적인 사용자의 request 앞에 추가되는 request 추가 이런 공격을 통해 자격증명 탈취 후 사용자에게 responses 에 인젝션 실행 피해자의 request 에서 데이터를 탈취 공격자 제어 서버로 정보를 유출 가능 HTTP request smuggling 기법은 2005년 최초 발표, 입증 발표 당시 PDF 링크 https://www.cgisecurity.com/lib/HTTP-Request-Smuggling.pdf 이후 해당 기법에 대한 개선된 기능 개발을 통한 공격 영역의 확장 Watchfire 연구팀의 해당 기술에 대한 DEFCON 발표 PDF 링크 https://media.d
자세한 내용 보기

0xNews - 인터넷의 많은 부분이 위험에 노출되는 apache log4j 취약점 발견

이미지
0xNews - 인터넷의 많은 부분이 위험에 노출되는 apache log4j 취약점 발견 apache 소프트웨어 재단 발표 https://logging.apache.org/log4j/2.x/security.html https://www.cert.govt.nz/it-specialists/advisories/log4j-rce-0-day-actively-exploited/ 악성코드를 실행하고 취약한 시스템을 완전히 탈취할 수 있는 제로데이 취약점 수정 사항 발표 CVE-2021-44228 지정 Log4Shell 혹은 LogJam 으로 명명 오픈소스 유틸리티를 사용하고 Log4j 2.0-beta9 에서 v.2.14.1 까지 영향을 미침 모든 애플리케이션에서 인증되지 않은 원격 코드 실행 RCE Remote Code Execution 경우와 관련이 있는 것으로 확인 이 취약점은 CVSS 10점 만점에서 10점을 획득한 심각한 취약점 공격자는 로그 메시지나 로그 메시지 매개변수를 제어 가능 메시지 조회 대체가 활성화된 경우 LDAP 서버에서 로드된 임의 코드를 실행 가능 Log4j 2.15.0 에서는 이러한 동작이 기본적으로 비활성화 되어 있음 이 취약점은 단일 텍스트 문자열에 의해서도 성공 가능 Log4j 의 취약한 버전을 사용하는 인스턴스를 통해 기록된 경우 애플리케이션이 악의적인 외부 호스트에 접근하도록 촉발 공격자가 원격 서버에서 페이로드를 검색할 수 있는 능력을 효과적으로 부여하고 로컬 서버와 원격 서버에서 실행 가능 Log4j 는 아마존, Apple iCloud, Cisco, Cloudflare, ElasticSearch, RedHat, Steam, Teals 등 비디오 게임 업체를 비롯한 다양한 제조업체에서 널리 사용되는 다양한 소프트웨어의 로깅 패키지로 사용 중 공격자는 특수하게 제작된 메시지를 채팅 상자에 붙여 넣기만 하면 MineCraft 서버에서 RCE 공격 가능 Cisco 의 이번 취약점 보안 업데이트 설명 https://tools.cisco.com
자세한 내용 보기