요약 : 보안 외신 해커뉴스에 의하면 최근 진행되고 있는 크립토재킹 캠페인이 큐버네티스 클러스터를 악용하고 있다고 한다. 특히 설정이 잘못된 클러스터를 찾아 크립토재킹을 진행하고 있는 것이라고 하는데, 공격자들의 최종 목적은 데로(Dero)라는 암호화폐를 채굴하는 것으로 분석됐다. 보안 업체 위즈(Wiz)에 의하면 공격자들은 인터넷에 연결된 클러스터에 익명으로 접근해 악성 컨테이너 이미지를 퍼트린다고 한다. 이 이미지를 받아 사용하는 순간 공격이 실시되며 최종적으로는 데로 채굴 코드가 피해자의 컴퓨터에 심긴다.


배경 : 채굴 코드의 이름은 포즈(pause)이다. 공격자들은 큐버네티스 API 서버에 접근하는 것에서부터 공격을 실시한다. 이들이 이용하는 악성 컨테이너 이미지도 포즈라는 이름이 붙는데, 이는 네트워크 고립 및 분리에 사용하는 유명 정상 컨테이너인 포즈와 의도적으로 헷갈리게 하기 위한 것으로 분석된다.

말말말 : “컨테이너나 페이로드나 이름만 봐서는 공격자의 의도를 알아챌 수가 없습니다. 악성으로 보이지도 않고요. 따라서 눈으로 악성 여부를 확인하다가는 진짜 위험을 놓칠 가능성이 높습니다.” -The Hacker News-
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>