셔터스톡

새로운 크립토재킹 캠페인에서 모네로 암호화폐를 채굴하기 위해 알리바바 클라우드 ECS(Elastic Computing Service) 인스턴스를 공격하는 해커가 발견되었습니다.

Trend Micro의 보안 연구원은 사이버 범죄자가 암호화폐를 채굴할 수 있도록 클라우드 인스턴스의 보안 기능을 비활성화하는 것을 발견했습니다.

ECS 인스턴스에는 해커가 손상 시 제거하려고 하는 보안 에이전트가 사전 설치된 상태로 제공됩니다. 연구원들은 악성코드의 특정 코드가 내부 알리바바 영역 및 지역에 속하는 IP 범위에서 들어오는 패킷을 삭제하는 방화벽 규칙을 생성했다고 말했습니다.

이러한 기본 Alibaba ECS 인스턴스는 루트 액세스도 제공합니다. 여기서 문제는 이러한 인스턴스에 다른 클라우드 제공업체에서 볼 수 있는 다른 권한 수준이 없다는 것입니다. 이는 대상 인스턴스에 액세스하기 위해 로그인 자격 증명을 얻은 해커가 사전에 권한 상승 공격을 가하지 않고도 SSH를 통해 그렇게 할 수 있음을 의미합니다.

"이러한 상황에서 공격자는 취약점 악용, 잘못된 구성 문제, 취약한 자격 증명 또는 데이터 유출을 포함하여 침해에 대해 가능한 가장 높은 권한을 가집니다."라고 연구원은 말했습니다.

이를 통해 커널 모듈 루트킷과 같은 고급 페이로드가 가능하고 실행 중인 시스템 서비스를 통해 지속성을 확보할 수 있습니다. "이 기능을 고려할 때 여러 위협 행위자가 Alibaba ECS에만 있는 소프트웨어를 제거하기 위한 코드 스니펫을 삽입하기만 하면 Alibaba Cloud ECS를 표적으로 삼는 것은 놀라운 일이 아닙니다."라고 덧붙였습니다.

연구원들은 알리바바 ECS 내부에서 크립토재킹 악성코드가 실행될 때 설치된 보안 에이전트가 악성 스크립트가 실행 중이라는 알림을 보낼 것이라고 말했습니다. 그런 다음 진행 중인 감염 및 악의적인 활동을 방지하는 것은 사용자의 몫입니다. 연구원들은 이 감염이 처음부터 발생하지 않도록 예방하는 것은 항상 사용자의 책임이라고 말했습니다.

"탐지에도 불구하고 보안 에이전트는 실행 중인 손상을 정리하지 못하고 비활성화됩니다."라고 덧붙였습니다. "다른 맬웨어 샘플을 보면 보안 에이전트도 손상 경고를 트리거하기 전에 제거되었음을 알 수 있습니다."

일단 손상되면 맬웨어는 XMRig를 설치하여 Monero를 채굴합니다.

연구원들은 Alibaba ECS에는 사용자 요청의 양에 따라 컴퓨팅 리소스를 자동으로 조정하는 자동 확장 기능이 있다는 점에 주목하는 것이 중요하다고 말했습니다. 이는 해커가 암호화폐 채굴을 확장하고 사용자가 비용을 부담할 수 있음을 의미합니다.

“청구서가 무의식적인 조직이나 사용자에게 도착할 때까지 크립토마이너는 이미 추가 비용을 발생시켰을 것입니다. 또한 합법적인 가입자는 감염 인프라를 정리하기 위해 수동으로 감염을 제거해야 합니다.”라고 연구원들은 경고했습니다.