• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

AWS에서 쌓은 노하우로 애저와 GCP까지 노리기 시작한 팀TNT 2023.07.18

해커들은 사람과 돈이 몰리는 곳에 관심을 둔다. 그래서 클라우드 강자인 AWS는 해커들의 집중적인 관심을 받아왔고, 애저와 GCP는 비교적 안전한 편이었다. 하지만 이제 그것도 옛말이다. 공격자들은 어디에나 있다.

[보안뉴스 문가용 기자] 클라우드 크리덴셜을 훔치고 클라우드 컴퓨팅 자원을 통해 암호화폐를 채굴하는 캠페인이 원래 수개월 동안 AWS 플랫폼에서만 자행되다가 최근 애저와 GCP로도 확산됐다. 그리고 이 캠페인에 사용되는 해킹 도구들은 이전부터 악명을 떨쳐왔었던 팀TNT(TeamTNT)의 그것과 상당 부분 겹친다는 사실도 최근 드러났다.

[이미지 = gettyimagesbank]


이 캠페인이 확대되기 시작한 건 6월부터인 것으로 보인다고 보안 업체 센티넬원(SentinelOne)과 퍼미소(Permiso)는 설명한다. “AWS만 공격한 것은 지난 12월부터인데, 그 때부터 공격 확대를 위해 조금씩 자신들의 공격 도구와 전략을 수정해 온 것 같습니다.” 센티넬원 측의 설명이다. 두 회사는 함께 이들을 추적했다고 한다.

센티넬원의 위협 연구원인 알렉스 델라모트(Alex Delamotte)는 “애저와 GCP를 공략하기 위해 사용되는 도구들은 아직 AWS 환경에서 활용되는 각종 도구들에 비해 수준이 낮다”며 “이제 막 공격을 시작해서 그런 것으로 보인다”고 말한다. “이들이 애저까지 노리기 시작한 건 6월 24일 정도부터입니다. 꽤나 최근의 일이라는 것이죠. 그렇기 때문에 앞으로 더 진화된 것들이 등장할 것이라고 보고 있습니다.”

도커 인스턴스 주의보
원래 팀TNT라는 해킹 그룹은 인터넷에 노출된 클라우드 서비스들을 공격하는 것으로 유명하다. 클라우드 설정 오류나 각종 인스턴스 및 취약점들을 익스플로잇 하는 것이 주특기이다. 이들은 클라우드를 공략한 후 암호화폐 채굴을 주로 실시했었다. 하지만 최근 들어 데이터를 훔치고 백도어를 심는 등의 행위로까지 이들의 악행은 발전한 상황이다.

또한 센티넬원과 퍼미소는 “공격자들이 노출된 도커 서비스들도 지난 달부터 노리기 시작했다”고 말한다. 이 때 팀TNT는 새롭게 수정된 셸 스크립트들을 활용했으며, 이 스크립트들은 1) 침투에 성공한 환경 파악, 2) 시스템 프로파일링, 3) 크리덴셜 파일 검색, 4) 검색된 크리덴셜 파일 외부 유출 등의 기능을 수행한다.

팀TNT는 아직 자동화 기술을 적극 사용하지 않는 것으로 보인다. 델라모트는 “이들은 크리덴셜을 수집할 때만 자동화 기술을 사용했지 공격의 다른 모든 부분에서는 수동으로 일을 진행한 것으로 보인다”고 설명한다. 참고로 얼마 전 또 다른 보안 업체 아쿠아시큐리티(Aqua Security) 역시 최근 도커 생태계에서 팀TNT의 활동이 왕성해지고 있다고 경고한 적이 있었다.

클라우드에 백도어를 심다
아쿠아 측은 “팀TNT가 클라우드를 활발하게 공격하는 것에는 여러 가지 목적이 있는 것으로 보인다”며 “크리덴셜을 탈취하고, 클라우드 컴퓨팅 자원을 자신들이 사용하며, 쓰나미(Tsunami)라는 백도어를 심기 위해서”라고 설명했다. 센티넬원과 퍼미소 측도 “팀TNT가 최근 새로운 ELF 바이너리를 유포하고 있다”고 이번에 발표했다. 이 ELF 바이너리는 또 다른 셸 스크립트를 다운로드 받아 실행시키는 기능을 가지고 있다고 한다.

델라모트는 “애저와 GCP는 AWS라는 시장 강자 덕분에 해커들에게 비교적 소외되어 왔다는 특징을 가지고 있다”며 “하지만 이제는 점점 그 방패가 얇아지고 있다는 걸 인지해야 한다”고 강조한다. “AWS에서 우리가 보고 있는 온갖 공격과 악성 행위들이 이제 애저와 GCP 환경에도 똑같이 벌어질 겁니다. 마치 윈도에서 있었던 해킹 공격들이 안드로이드와 iOS, 이제 맥OS에서도 나타나는 것처럼요.”

그래서 델라모트는 “레드팀 훈련을 할 때 공공 클라우드를 잘 아는 팀과 계약을 맺는 게 앞으로는 더 효과가 좋을 것”이라고 귀띔한다. “PC가 대세일 때 공격자들은 PC를 노렸습니다. 모바일이 모든 생활을 잠식하니 모바일도 성공적으로 공략했고요. 이제 클라우드가 만연하니 클라우드 차례가 되었습니다. 어떤 클라우드도 예외가 없습니다.”

3줄 요약
1. 클라우드에서 암호화폐 채굴 공격 하는 것으로 유명했던 팀TNT.
2. 주로 AWS에서 공격을 실시했는데 이제는 애저와 GCP까지 노림.
3. AWS에 집중되었던 공격, 이제는 애저와 GCP로까지 퍼지고 있음.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>