클라우드 서버

새로운 연구에 따르면 클라우드 환경을 공격한 사이버 범죄 조직이 이제 Docker 및 Kubernetes 등 클라우드 모니터링 도구를 악의적 공격 수행을 위한 백도어로 재활용하는 것으로 알려졌다.

이스라엘 사이버 보안회사인 Intezer는 지난 화요일 분석보고를 통해 “우리가 아는 한 공격자들이 합법적인 타사 소프트웨어를 사용해 클라우드 인프라를 표적으로 삼은 것은 이번이 처음이다”라고 밝혔다. Docker 및 Kubernetes는 서비스의 시각화 및 모니터링 도구로 사용된다.

보고에 따르면 TeamTNT라는 이름의범죄자들은 Weave Scope라는 소프트웨어를 사용해 피해자의 클라우드 환경을 조정할 뿐만 아니라 대상 서버에 악성코드를 배포하지 않고도 시스템에 명령을 실행한 것으로 알려졌다.

TeamTNT는 적어도 올해 4월 말 부터 활성화 되어 잘 못 구성된 Docker 포트에 대한 공격을 지시, 암호화폐 채굴 악성코드와 DDoS 봇을 설치했다. 또한 이들은 Docker 및 Kubernetes 시스템을 스캔하여 로그인 증명을 유출하기 위해 작업 방식을 업데이트 했다.

TeamTNT의 궁극적인 목표는 암호화폐 채굴을 통해 현금을 창출하는 것으로 보이나, 이제는 노출된 API 엔드 포인트로 인해 시스템을 손상시키기도 한다. 따라서 공격자가 서버를 제어하지 못하도록 Docker API 엔드 포인트에 대한 액세스를 제한하는 것이 좋다.

[출처 : The Hacker News / 2020.09.09.]