2019년부터 진행됐던 암호화폐 채굴 캠페인, 도커 API의 설정 오류 악용

요약 : 2019년부터 현재까지 들키지 않은 채 이어져 온 암호화폐 채굴 공격 캠페인이 발견됐다. 이들은 도커 API(Docker API)의 설정이 잘못된 환경에 침투하여 백도어를 설치하고, 이를 통해 암호화폐 채굴 멀웨어를 가동시켰다고 한다. 공격자들은 API를 통해 도커 이미지가 다운로드 될 때 악성 요소가 같이 설치되도록 손을 쓴 것이라고 한다. 이러한 공격 기법 및 캠페인에는 오톰(Autom)이라는 이름이 붙었다.


배경 : 공격자들은 설정 오류를 통해 침투를 한 후 백도어를 심어서 보안 솔루션을 무력화시키기도 했다. 즉, API 설정 오류를 이용했을 때 저절로 들키지 않는 캠페인이 된다는 게 아니라, 공격자들이 들키지 않기 위한 여러 가지 대책을 마련했다는 뜻이다.

말말말 : “도커나 컨테이너, API와 같은 비교적 새로운 기술들에 공격자들이 빠르게 적응하고 있습니다. 기술의 발전이 놀라운 속도로 이뤄지고 있고, 특히 탐지 회피에 대해서 놀라운 실력을 보여주고 있습니다.” -아쿠아섹(Aquasec)-
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>