보안 연구원들은 리눅스 호스트의 Redis 서버를 대상으로 하는 새로운 캠페인을 발견했습니다. 이 캠페인에서는 'Migo'라는 악성 소프트웨어를 사용하여 암호화폐를 채굴합니다. Redis는 데이터베이스, 캐시, 메시지 브로커로 사용되는 인메모리 데이터 구조 저장소로, 게임, 기술, 금융 서비스, 건강 관리 등의 산업에서 실시간 애플리케이션에 초당 수천 개의 요청을 처리하는 높은 성능으로 알려져 있습니다. 해커들은 자원을 차지하고, 데이터를 도난당하며, 기타 악의적인 목적을 위해 노출되고 잠재적으로 취약한 Redis 서버를 항상 찾고 있습니다.
이 새로운 악성 소프트웨어 변종의 특이한 점은, 시스템 약화 명령의 사용으로 Redis의 보안 기능을 끄고, 암호화폐 채굴 활동이 장기간 계속될 수 있게 한다는 것입니다. Migo 캠페인은 클라우드 포렌식 제공업체인 Cado Security의 분석가들이 발견했으며, 이들은 공격자들이 CLI 명령을 사용하여 보호 구성을 끄고 서버를 악용하는 것을 관찰했습니다.
다음으로, 공격자들은 cron 작업을 설정하여 Pastebin에서 스크립트를 다운로드하고, 이를 백그라운드 작업으로 실행하여 Migo의 주요 페이로드(/tmp/.migo)를 Transfer.sh에서 검색합니다. 이는 분석을 방해하기 위해 컴파일 시간 난독화를 특징으로 하는 UPX-packed ELD 바이너리로 컴파일되었습니다. Cado는 Migo의 주요 기능이 GitHub의 CDN에서 직접 수정된 XMRig (Monero) 마이너를 가져와 설치하고 실행하는 것이라고 말했습니다.
또한, 특정 IP로의 아웃바운드 트래픽 차단, SELinux 비활성화 및 클라우드 공급자 모니터링 에어전트 잠재적 비활성화 등의 공격을 수행하며 마무리합니다. Migo의 공격 체인은 공격자가 Redis 환경과 운영을 잘 이해하고 있음을 나타냅니다.
요약
- 보안 연구원들은 리눅스 호스트의 Redis 서버를 대상으로 하는 새로운 캠페인을 발견했다. 이 캠페인에서는 'Migo'라는 악성 소프트웨어를 사용하여 암호화폐를 채굴한다.
- 이 새로운 악성 소프트웨어 변종의 특이한 점은, 시스템 약화 명령의 사용으로 Redis의 보안 기능을 끄고, 암호화폐 채굴 활동이 장기간 계속될 수 있게 한다는 것이다.
- 공격자들은 cron 작업을 설정하여 Pastebin에서 스크립트를 다운로드하고, 이를 백그라운드 작업으로 실행하여 Migo의 주요 페이로드(/tmp/.migo)를 Transfer.sh에서 검색한다.
- 이는 분석을 방해하기 위해 컴파일 시간 난독화를 특징으로 하는 UPX-packed ELD 바이너리로 컴파일되었다.
- Cado는 Migo의 주요 기능이 GitHub의 CDN에서 직접 수정된 XMRig (Monero) 마이너를 가져와 설치하고 실행하는 것이라고 말했다.
- 특정 IP로의 아웃바운드 트래픽 차단, SELinux 비활성화및 클라우드 공급자 모니터링 에어전트 잠재적 비활성화 등의 공격을 수행하며 마무리한다.
※ 이 글은 생성형 AI(ChatGPT-4)에 의해 요약되었습니다.