클라우드 포렌식 및 사고 대응 회사인 Cado Security의 연구자들은 Apache Hadoop YARN, Docker, Confluence, Redis 등의 서버 설정 오류를 이용하는 해커들이 새로운 Golang 기반 악성코드를 사용하여 호스트를 자동으로 찾아내고 공격하는 캠페인을 발견했습니다. 이 악성 도구들은 설정의 약점을 이용하고 Atlassian Confluence의 오래된 취약점을 악용하여 코드를 실행합니다. 연구자들은 이 공격이 이전에 보고된 클라우드 공격과 유사하며, 이 중 일부는 TeamTNT, WatchDog, Kiss-a-Dog와 같은 위협 행위자들에게 귀속되었다고 지적했습니다.
해커들은 네 가지 새로운 Golang 페이로드를 배포하여 Hadoop YARN, Docker, Confluence, Redis를 실행하는 호스트를 식별하고 공격합니다. 이 페이로드들의 이름은 bash 스크립트로 위장하려는 미흡한 시도일 가능성이 있습니다. 그러나 이들은 실제로 64비트 Golang ELF 바이너리입니다. 해커들은 이 Golang 도구를 사용하여 네트워크 세그먼트를 스캔하고, 이 캠페인의 목표가 되는 2375, 8088, 8090, 6379 등의 기본 포트를 찾아냅니다.
Cado Security는 해커가 "ar.sh"라는 더 큰 쉘 스크립트를 사용하여 공격을 확장하고, 호스트에서 포렌식 활동을 방지하며, 추가 페이로드를 가져오는 것을 발견했습니다. 이 스크립트는 또한 SSH 키를 추가하여 해커가 감염된 시스템에 대한 접근을 유지하게 하고, Golang 기반의 역쉘 Platypus를 검색하며, SSH 키와 관련 IP 주소를 찾아냅니다.
요약
- Cado Security의 연구자들은 Apache Hadoop YARN, Docker, Confluence, Redis 등의 서버 설정 오류를 이용하는 해커들이 새로운 Golang 기반 악성코드를 사용하여 호스트를 자동으로 찾아내고 공격하는 캠페인을 발견했다.
- 해커들은 네 가지 새로운 Golang 페이로드를 배포하여 Hadoop YARN, Docker, Confluence, Redis를 실행하는 호스트를 식별하고 공격한다.
- Cado Security는 해커가 "ar.sh"라는 더 큰 쉘 스크립트를 사용하여 공격을 확장하고, 호스트에서 포렌식 활동을 방지하며, 추가 페이로드를 가져오는 것을 발견했다.
※ 이 글은 생성형 AI(ChatGPT-4)에 의해 요약되었습니다.