자기 복제형 좀비 맬웨어가 Docker를 목표로 삼습니다

안전하지 않은 도커 컨테이너들이 자동으로 퍼지는 악성 소프트웨어에 의해 장악되어, 프라이버시에 중점을 둔 암호화폐인 Dero를 채굴하는 좀비 네트워크를 만들어냅니다.

새로운 암호화폐 채굴 공격 캠페인이 미보안 도커 컨테이너를 개인정보 공유에 초점을 맞춘 암호화폐인 Dero를 채굴하는 빠르게 확산되는 좀비 네트워크로 변모시키고 있습니다. 이 멀웨어는 명령 및 제어 서버 없이 스스로 확산되기 때문에, 멈추기가 더 어려워졌습니다.

Kaspersky의 연구자들은 일상적인 보안 평가 중에 감염을 발견했습니다. “악의적인 활동을 하는 실행 중인 컨테이너들을 탐지했습니다.”라고 그들은 말했습니다.

공격은 온라인 상에 노출된 Docker API들이 발견될 때 시작됩니다. 하나가 침해되면, 악성 소프트웨어는 새로운 악성 컨테이너를 생성하고 기존의 컨테이너를 인질로 삼아 Dero를 채굴하는 “좀비”로 만들고 다른 컨테이너들을 감염시킵니다.

이 공격은 두 가지 Golang 기반의 악성 코드를 사용하며, 이들은 모두 UPX 패킹으로 숨겨져 있습니다: 하나는 nginx라고 불리며 (합법적인 웹 서버와 혼동되지 않도록 주의하세요), 다른 하나는 클라우드 Dero 마이너입니다. Kaspersky는 이들을 Trojan.Linux.Agent.gen과 RiskTool.Linux.Miner.gen으로 식별했습니다.

nginx 악성 코드는 합법적인 웹 도구인 척하며, 새로운 목표물을 인터넷에서 끊임없이 스캔하면서 마이너를 계속 실행시킵니다. 이는 2375 포트에서 열려 있는 Docker API를 찾고, 이를 감지하기 위해 masscan과 같은 도구를 사용합니다. 취약한 시스템을 찾게 되면, 가짜 Ubuntu 컨테이너를 배포하고 악성 코드를 설치합니다.

이것은 또한 특별한 파일인 version.dat을 체크하여 기존 컨테이너를 장악하려고 시도합니다. 만약 이 파일이 없다면, 이것은 맬웨어를 설치하고 채굴을 시작합니다.

클라우드 마이너는 암호화된 문자열을 사용하여 자신의 지갑과 서버 주소를 숨깁니다. 암호화가 해제되면, 연구원들은 이것을 이전의 쿠버네티스 클러스터에 대한 공격으로 추적하였습니다.

“이 임플란트는 운영자와의 상호작용을 최소화하도록 설계되었다”는 보고서에서 언급하며, 유사한 캠페인들이 여전히 활동 중일 수 있음을 경고하고 있습니다.

보안 전문가들은 Docker API들이 보호 없이 온라인에 노출되는 한 이런 암호화폐 채굴 캠페인들이 계속될 것이라고 경고합니다. 사용자들은 오픈 API를 비활성화하고 네트워크 접근 제어를 강화함으로써 자신들의 Docker 환경을 보호해야 합니다.