요약 : 보안 외신 해커뉴스에 의하면 악명 높은 해킹 그룹인 팀TNT(TeamTNT)가 갑자기 클라우드를 겨냥한 새로운 공격을 시작했다고 한다. 이번 캠페인의 목적은 암호화폐 채굴인 것으로 보인다. 가장 많은 피해가 발견되고 있는 곳은 도커(Docker) 생태계다. 침해된 서버들과 도커허브(Docker Hub)를 공격 인프라로 활용하고, 이를 통해 슬리버(Sliver)라는 웜과 함께 암호화폐 채굴 코드를 퍼트리는 중이다. 심지어 침해한 서버와 도커 계정을 다른 공격자들에게 대여해 채굴 행위를 촉진시키기도 했다. 클라우드 생태계를 침해함으로써 어떻게 돈을 벌어야 하는지 많은 연구를 실시한 것으로 추정된다.


배경 : 원래 팀TNT는 쓰나미(Tsunami)라는 이름의 백도어를 즐겨 사용했었다. 하지만 이번에 슬리버라는 오픈소스를 사용하면서 이들의 전략에 변화가 생겼음이 드러났다. 슬리버를 사용할 경우 공격자들은 원격에서 제어 가능한 C&C 인프라를 구축할 수 있게 된다. 이번 캠페인에서 사용되는 채굴 멀웨어는 프로메테이(Promotei)다.

말말말 : “공격자들은 피해자들의 서버와 컴퓨팅 파워를 통해 모네로를 채굴해 갑니다. 하지만 공격자가 이를 알아채는 게 그리 간단하지는 않습니다. 계속해서 점검하고 모니터링해야 수상한 점을 겨우 발견할 수 있습니다.” -아쿠아(Aqua)-
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>