2024-12-21 20:50 (토)
가상화폐 체굴 봇넷, Docker·AWS 자격 증명 노린다
상태바
가상화폐 체굴 봇넷, Docker·AWS 자격 증명 노린다
  • 길민권 기자
  • 승인 2021.01.10 16:13
이 기사를 공유합니다

트렌드마이크로 분석가는 8일, Docker 및 AWS 자격 증명을 수집하고 도용하는 맬웨어 봇넷을 발견했다고 말했다.

2020년 여름에 잘못 구성된 컨테이너 플랫폼에 암호화폐 채굴 악성코드를 설치하는 것이 처음 발견됐다.

당시 보고서에 따르면 TeamTNT는 암호없이 온라인으로 관리 API 포트를 노출하는 Docker 시스템을 찾아 컨테이너 플랫폼을 침해하고 있었다고 밝혔다.

연구원들은 TeamTNT 그룹이 노출 된 Docker 컨테이너에 액세스하고, 암호화 채굴 악성코드를 설치하고, 회사의 다른 IT 시스템으로 전환해 더 많은 서버를 감염시키고 더 많은 암호화를 배포하기 위해 아마존 웹서비스(AWS) 서버에 대한 자격 증명을 훔칠 것이라고 말했다.

트렌드마이크로 연구원들은 TeamTNT가 AWS 자격 증명 수집 및 도용 전용 기능을 구현 한 최초의 암호화 채굴 봇넷이라고 설명한다.

최근 보고서에서 트렌드마이크로 연구원들은 TeamTNT 갱의 악성코드 코드가 지난 여름 처음 발견 된 이후 상당한 업데이트가 진행됐다고 설명했다.

트렌드마이크로의 선임 보안 연구원은 “과거의 유사한 공격에 비해이 스크립트에 대한 개발 기술이 훨씬 더 정교 해졌다”며 “더 이상 끝없는 코드 줄이 없었으며 샘플은 잘 작성되었으며 설명이 포함 된 기능별로 구성되었다. TeamTNT가 이제 AWS 자격 증명 도용 코드 외에 Docker API 자격 증명을 수집하는 기능을 추가했다”고 덧붙였다.

연구원은 “봇넷이 원래 Docker API 포트 스캔 기능이 아닌 다른 진입 점을 사용해 호스트를 감염시키는 컨테이너 플랫폼에서 가장 많이 사용된다”며 “Docker API 인증을 구현하는 것만으로는 충분하지 않다. 기업은 강력한 암호를 사용하더라도 Docker 관리 API가 처음에 온라인에 노출되지 않도록 해야 한다”고 강조했다.

덧붙여 API 포트를 활성화해야 하는 경우, 허용 목록을 사용해 포트에 액세스 할 수 있는 사람을 제한하는 방화벽을 사용할 것을 권고했다.

★정보보안 대표 미디어 데일리시큐!★

■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★