해커들이 솔트 소프트웨어의 취약점을 악용해 유명 웹사이트 서버에 암호화폐 채굴 악성코드를 설치했는데, 그중 하나가 고스트(Ghost)입니다. 이 사실은 보안 연구원들이 5월 3일 ZDNet에 공개했습니다.
Ghost 서버에서 발견된 암호화폐 채굴 악성코드
Node.js 기반의 Ghost는 오픈 소스 블로그 웹사이트로, 주요 블로그 플랫폼인 WordPress보다 편리한 대안이라고 홍보하고 있습니다. 그러나 해커들이 이 회사의 서버를 해킹하여 암호화폐를 .
Ghost는 서버 관리에 Salt 소프트웨어를 사용하는 것으로 알려져 있습니다 따라서 공격자들은 Salt 소프트웨어의 취약점을 악용하여 웹사이트에 접근한 후, 암호화폐 채굴 악성코드를 설치하여 회사 CPU에 과부하를 일으켰습니다.
고스트 측 관계자에 따르면 해커들은 주로 암호화폐 채굴에 집중했습니다. 그들은 고스트 사용자들의 금융 정보나dent증명을 훔치지 않았으며, 단지 암호화폐 채굴 악성 프로그램을 설치하여 서버에서 불법적으로 디지털 화폐를 채굴했을 뿐입니다.
암호화 악성코드가 CPU에 과부하를 일으켰습니다
Ghost 개발팀은 회사 CPU 사용량이 급증하여 대부분의 시스템에 과부하가 걸린 직후 무단 활동에 대한 경고를 받았습니다. 보고서에 따르면, 그들은 서버를 일시적으로 중단하고 취약점 패치가 완료된 후에야 서버를 다시 가동할 수 있었습니다.
dent 전에도 해커들은 Salt 소프트웨어에서 보고된 것과 동일한 취약점을 이용해 인기 모바일 운영체제인 LineageOS의 서버에 이미 침투했습니다. 또한 동일한 공격 캠페인을 통해 Digicert 인증 기관도 공격받았습니다.
솔트스택 패치 솔트 결함
한 연구원에 따르면, 공격 과정은 취약점 스캔부터 암호화폐 채굴 악성코드 설치에 이르기까지 모두matic방식으로 진행될 가능성이 높다고 합니다. 당시 솔트(Salt) 소프트웨어를 사용하는 은행 및 기타 플랫폼을 포함한 포춘 500대 기업들이 위험에 처해 있었습니다.
정확히 말하면 약 6,000개의 Salt 서버가 취약점에 노출되었지만, 해당 소프트웨어 개발사인 Saltstack은 최근 보고된 취약점을 해결하는 패치를 배포했습니다. 사용자들은 방화벽으로 시스템을 보호하거나 Salt 서버에 패치를 적용하도록 권고받았습니다.
