[ⓒ픽사베이][디지털데일리 김보민기자] 암호
페이지 정보
본문
[ⓒ픽사베이][디지털데일리 김보민기자] 암호화폐 '데로(Dero)'를 채굴하는 악성코드가 발견됐다. 보안 업계는 해당 악성코드가 컨테이너화된 환경을 대상으로 위협을 가하고 있어, 맞춤형 보안 전략이 필요하다고 말한다.글로벌 사이버보안 기업 카스퍼스키(지사장 이효은)는 컨테이너화된 환경을 대상으로 암호화폐 데로를 채굴하는 악성코드를 확인했다고 28일 밝혔다. 공격자들은 오픈소스 컨테이너 개발 플랫폼 '도커(Docker)'의 노출된 도커API를 악용한 것으로 나타났다.카스퍼스키에 따르면 전 세계적으로 매달 평균 500건에 달하는 도커API 기본 포트가 취약한 상태로 외부에 노출돼 있다. 사이버 공격자들은 ▲채굴기 ▲다른 취약한 컨테이너 네트워크로 확산하는 전파형 악성코드 등 두 가지 방식으로 악성코드를 침해 시스템에 주입한 것으로 확인됐다.카스퍼스키는 이번 악성 캠페인을 침해 평가 프로젝트를 진행하던 중 발견했다. 컨테이너 기반 인프라를 운영하면서 보안 통제 없이 도커API를 외부에 노출하고 있는 모든 기업이 잠재적 공격 대상이 될 수 있는 것으로 분석했다. 이러한 기업으로는 기술 기업, 소프트웨어 개발사, 호스팅 제공업체, 클라우드서비스제공사(CSP), 기타 다수 기업이 포함된다.쇼단(Shodan)에 따르면, 올해 전 세계적으로 매달 평균 485건의 도커API 기본 포트가 노출되어 있다. 이 수치는 공격 캠페인의 공격 표면이 될 수 있는 진입 지점으로, 공격자가 노릴 수 있는 보안되지 않은 포트를 나타낸다. 중국이 월 평균 약 138건으로 가장 많았으며, 그 뒤를 독일(97건), 미국(58건), 브라질(16건), 싱가포르(13건)가 따랐다.공격자가 노출된 도커 API를 식별하면, 기존 컨테이너를 침해하거나, 표준 우분투(Ubuntu) 이미지를 기반으로 새로운 악성 컨테이너를 생성한다. 이후 감염된 컨테이너에는 '엔진엑스(nginx)'와 '클라우드(cloud)'라는 두 가지 악성코드가 주입된다.'cloud'는 데로 암호화폐 채굴기이고, 'nginx'는 지속성을 유지하고 채굴기의 실행을 보장해 다른 노출된 환경을 스캔하는 악성 소프트웨어다. 이 악성코드는 전통적인 명령 및 제어 서버를 사용하지 않고 각 감염된 컨테이너가 독립적으로 인터넷을 스캔하고, 채굴기를 새로운 대상에게 확산시킬 수 있도록 한다.앰젯 와제(Amged Wageh) 카스퍼스키시큐리티서비스 사고 대응 및 침해 평가 전문가는 "보안[ⓒ픽사베이][디지털데일리 김보민기자] 암호화폐 '데로(Dero)'를 채굴하는 악성코드가 발견됐다. 보안 업계는 해당 악성코드가 컨테이너화된 환경을 대상으로 위협을 가하고 있어, 맞춤형 보안 전략이 필요하다고 말한다.글로벌 사이버보안 기업 카스퍼스키(지사장 이효은)는 컨테이너화된 환경을 대상으로 암호화폐 데로를 채굴하는 악성코드를 확인했다고 28일 밝혔다. 공격자들은 오픈소스 컨테이너 개발 플랫폼 '도커(Docker)'의 노출된 도커API를 악용한 것으로 나타났다.카스퍼스키에 따르면 전 세계적으로 매달 평균 500건에 달하는 도커API 기본 포트가 취약한 상태로 외부에 노출돼 있다. 사이버 공격자들은 ▲채굴기 ▲다른 취약한 컨테이너 네트워크로 확산하는 전파형 악성코드 등 두 가지 방식으로 악성코드를 침해 시스템에 주입한 것으로 확인됐다.카스퍼스키는 이번 악성 캠페인을 침해 평가 프로젝트를 진행하던 중 발견했다. 컨테이너 기반 인프라를 운영하면서 보안 통제 없이 도커API를 외부에 노출하고 있는 모든 기업이 잠재적 공격 대상이 될 수 있는 것으로 분석했다. 이러한 기업으로는 기술 기업, 소프트웨어 개발사, 호스팅 제공업체, 클라우드서비스제공사(CSP), 기타 다수 기업이 포함된다.쇼단(Shodan)에 따르면, 올해 전 세계적으로 매달 평균 485건의 도커API 기본 포트가 노출되어 있다. 이 수치는 공격 캠페인의 공격 표면이 될 수 있는 진입 지점으로, 공격자가 노릴 수 있는 보안되지 않은 포트를 나타낸다. 중국이 월 평균 약 138건으로 가장 많았으며, 그 뒤를 독일(97건), 미국(58건), 브라질(16건), 싱가포르(13건)가 따랐다.공격자가 노출된 도커 API를 식별하면, 기존 컨테이너를 침해하거나, 표준 우분투(Ubuntu) 이미지를 기반으로 새로운 악성 컨테이너를 생성한다. 이후 감염된 컨테이너에는 '엔진엑스(nginx)'와 '클라우드(cloud)'라는 두 가지 악성코드가 주입된다.'cloud'는 데로 암호화폐 채굴기이고, 'nginx'는 지속성을 유지하고 채굴기의 실행을 보장해 다른 노출된 환경을 스캔하는 악성 소프트웨어다. 이 악성코드는 전통적인 명령 및 제어 서버를 사용하지 않고 각 감염된 컨테이너가 독립적으로 인터넷을 스캔하고, 채굴기를 새로운 대상에게 확산시킬 수 있도록 한다.앰젯 와제(Amged Wageh) 카스퍼스키시큐리티서비스 사고 대응 및 침해 평가 전문가는 "보안 조치가 즉시 도입되지 않을 경우, 감염된 각 컨테이너가 새로운 공격 출발점이 되어 감염이 기하
- 이전글전화후 메세지 콜백서비스 SMS 어플 25.05.28
- 다음글텔레@KOREATALK77 테더코인비대면거래 리플 구입 25.05.28
댓글목록
등록된 댓글이 없습니다.