클라우드 보안 회사 위즈(Wiz)의 연구원들이 발표한 보고서에 따르면, 해커들이 암호화폐 채굴 활동을 위해 시스템을 공격하고 있다고 합니다. 연구원들은 해커들이 노출된 자바 디버그 와이어 프로토콜(JDWP) 인터페이스를 악용하여 침해된 시스템에서 코드 실행 권한을 획득하고 있다고 밝혔습니다.
보고서 에 따르면 , 해커들은 코드 실행 권한을 확보한 후, 해킹한 호스트 시스템에 암호화폐 채굴 프로그램을 배포했습니다. 연구진은 "공격자는 하드코딩된 설정을 사용하는 수정된 XMRig 버전을 활용하여 방어자들이 흔히 탐지하는 의심스러운 명령줄 인수를 피했다"고 밝혔습니다. 또한, 해당 페이로드는 채굴 풀 프록시를 사용하여 공격자의 암호화폐 지갑을 숨김으로써 수사관들이 trac .
해커들이 노출된 JDWP를 악용하여 채굴 활동을 벌이고 있습니다
연구원들은 널리 사용되는 지속적 통합 및 지속적 배포(CI/CD) 도구인 TeamCity가 실행되는 허니팟 서버에서 활동을 관찰했습니다. JDWP는 자바 디버깅에 사용되는 통신 프로토콜입니다. 이 프로토콜을 사용하면 디버거를 통해 서로 다른 프로세스, 동일한 컴퓨터의 자바 애플리케이션 또는 원격 컴퓨터에서 작업할 수 있습니다.
하지만 JDWP는 접근 제어 메커니즘이 없기 때문에 인터넷에 노출될 경우 해커가 이를 악용하여 실행 중인 Java 프로세스를 완전히 제어할 수 있는 새로운 공격 경로를 열어줄 수 있습니다. 간단히 말해, 잘못된 구성은 임의의 명령어를 주입하고 실행하여 시스템에 지속성을 부여하고 궁극적으로 악성 페이로드를 실행하는 데 사용될 수 있습니다.
"JDWP는 대부분의 자바 애플리케이션에서 기본적으로 활성화되어 있지 않지만, 개발 및 디버깅 환경에서 흔히 사용됩니다."라고 연구진은 밝혔습니다. "많은 인기 애플리케이션은 디버그 모드로 실행될 때 JDWP 서버를matic으로 시작하는데, 개발자에게 위험성을 명확히 알리지 않는 경우가 많습니다. 보안이 제대로 되어 있지 않거나 노출된 상태로 방치될 경우, 원격 코드 실행(RCE) 취약점이 발생할 수 있습니다."
디버그 모드에서 JDWP 서버를 실행할 수 있는 애플리케이션에는 TeamCity, Apache Tomcat, Spring Boot, Elasticsearch, Jenkins 등이 있습니다. GreyNoise의 데이터에 따르면 지난 24시간 동안 2,600개 이상의 IP 주소에서 JDWP 엔드포인트가 검사되었으며, 그중 1,500개는 악성, 1,100개는 의심스러운 것으로 분류되었습니다. 보고서에 따르면 이러한 IP 주소의 대부분은 홍콩, 독일, 미국, 싱가포르, 중국에서 발생한 것으로 나타났습니다.
연구원들은 공격이 어떻게 이루어지는지 자세히 설명합니다
연구원들이 관찰한 공격에서 해커들은 자바 가상 머신(JVM)이 5005번 포트에서 디버거 연결을 수신한다는 점을 악용하여 인터넷 전반에 걸쳐 열려 있는 JDWP 포트를 스캔합니다. 그 후, 인터페이스가 활성화되어 있는지 확인하기 위해 JDWP 핸드셰이크 요청을 보냅니다. 서비스가 노출되어 있고 상호 작용이 가능한 것으로 확인되면, 해커들은 일련의 작업을 수행하도록 설계된 드로퍼 셸 스크립트를 실행하는 명령을 실행합니다.
이러한 일련의 조치에는 시스템에서 경쟁하는 모든 마이너 또는 CPU 사용량이 높은 프로세스를 종료하고, 외부 서버("awarmcorner[.]world")에서 적절한 시스템 아키텍처에 맞게 수정된 XMRig 마이너 "~/.config/logrotate"에 드롭하고, cron 작업을 설정하여 셸 로그인, 재부팅 또는 예약된 시간 간격마다 페이로드를 다시 가져와 다시 실행하도록 하여 지속성을 확보하고, 종료 시 자체 삭제하는 것이 포함됩니다.
연구진은 "XMRig는 오픈 소스이기 때문에 공격자에게 손쉬운 맞춤 설정 기능을 제공하며, 이번 공격에서는 모든 명령줄 구문 분석 로직을 제거하고 구성을 하드코딩하는 방식을 사용했습니다."라고 밝혔습니다. "이러한 수정은 배포를 간소화할 뿐만 아니라 페이로드가 원래의 logrotate 프로세스를 더욱 그럴듯하게 모방할 수 있도록 합니다."
Windows 모두 표적으로 삼고 있는 Hpingbot이라는 새로운 Go 기반 악성 프로그램이 hping3를 사용하여 분산 서비스 거부(DDoS) 공격을 실행할 수 있다고 지적한 데 따른 것입니다.
