사이버 보안 회사인 Trend Micro에 따르면, Docker API를 노린 위협 요소가 더욱 위험한 기능을 가진 악성 도구를 업데이트하였습니다. 이는 복잡한 봇넷의 기반을 마련할 수 있는 상황입니다. 이 위협 요소는 처음에는 암호화폐 채굴기를 배포하고 Tor 네트워크를 이용해 신원을 숨기는 스크립트와 악성 코드를 분석하였습니다.
Akamai 연구원들은 채굴기를 배포하지 않고, Docker API에 대한 접근을 차단할 수 있는 더 복잡한 페이로드를 포함한 새로운 도구를 발견하였습니다. 공격자들은 취약한 호스트에서 노출된 Docker API(port 2375)를 찾아 base64로 인코딩된 쉘 명령어를 포함한 수정된 Alpine Linux 이미지를 사용하여 컨테이너 생성 요청을 보냅니다.
컨테이너는 디코딩된 쉘 명령어를 실행하여 curl과 tor를 설치하고, 백그라운드에서 Tor 데몬을 실행하며, SOCKS5 프록시를 통해 Amazon의 checkip.amazonaws[.]com 서비스에 접속하여 연결 확인을 기다립니다. Tor가 활성화되면, 컨테이너는 curl을 사용하여 Tor 숨겨진 서비스에서 두 번째 단계의 쉘 스크립트(docker-init.sh)를 다운로드하고 실행합니다.
- Docker API를 노린 위협 요소가 더욱 위험한 기능을 가진 악성 도구를 업데이트하였다.
- Akamai 연구원들은 채굴기를 배포하지 않고, Docker API에 대한 접근을 차단할 수 있는 더 복잡한 페이로드를 포함한 새로운 도구를 발견하였다.
- 공격자들은 취약한 호스트에서 노출된 Docker API(port 2375)를 찾아 base64로 인코딩된 쉘 명령어를 포함한 수정된 Alpine Linux 이미지를 사용하여 컨테이너 생성 요청을 보낸다.
- 컨테이너는 디코딩된 쉘 명령어를 실행하여 curl과 tor를 설치하고, 백그라운드에서 Tor 데몬을 실행하며, SOCKS5 프록시를 통해 Amazon의 checkip.amazonaws[.]com 서비스에 접속하여 연결 확인을 기다린다.
- Tor가 활성화되면, 컨테이너는 curl을 사용하여 Tor 숨겨진 서비스에서 두 번째 단계의 쉘 스크립트(docker-init.sh)를 다운로드하고 실행한다.
※ 이 글은 생성형 AI(ChatGPT-4)에 의해 요약되었습니다.