2024-12-22 01:20 (일)
해킹그룹 TeamTNT, 클라우드 인프라 타깃으로 새로운 가상화폐 채굴 공격 확대중
상태바
해킹그룹 TeamTNT, 클라우드 인프라 타깃으로 새로운 가상화폐 채굴 공격 확대중
  • 길민권 기자
  • 승인 2024.10.28 20:50
이 기사를 공유합니다
TeamTNT의 새로운 공격 방식, 클라우드 네이티브 인프라의 보안 위협 증가

가상화폐 채굴로 악명 높은 해킹 그룹인 TeamTNT가 클라우드 네이티브 환경을 타깃으로 하는 새로운 공격 캠페인을 진행하고 있는 것으로 조사됐다. 이 그룹은 클라우드 인프라의 취약점을 이용해 가상화폐를 채굴하고 손상된 서버를 임대하는 방식으로 수익을 다변화했다. 특히 도커 환경의 잘못된 설정이나 노출된 도커 데몬을 악용해 대규모로 악성코드를 배포하고 채굴 작업을 진행하고 있다.

■ 가상화폐 채굴 및 서버 임대 위한 도커 환경 공격

TeamTNT의 이번 공격은 클라우드 네이티브 환경에 다단계 공격을 가해 손상된 서버를 채굴 작업에 이용하는 한편, 이를 타사에 임대해 수익을 창출하려는 전략이 특징이다. 이번 캠페인은 아쿠아 시큐리티 위협 인텔리전스 담당자에 의해 최초로 발견되었으며, 팀은 주로 도커 허브를 통해 악성 페이로드를 배포하는 데 중점을 두고 있다. 공격 과정은 도커 API 엔드포인트에서 포트 2375, 2376, 4243 및 4244를 스캔하는 것으로 시작되며, 이를 통해 취약한 엔드포인트를 찾아낸다.

TeamTNT는 ‘nmlm99’이라는 계정을 통해 악성 이미지를 도커 허브에 업로드하고, 알파인 리눅스 컨테이너에서 ‘TDGGinit.sh’라는 셸 스크립트를 실행하여 추가적인 악성 활동을 유발한다. 이 스크립트는 지속성을 확보하고 클라우드 네트워크 내 다른 시스템으로 확산할 수 있는 기반을 제공한다.

TeamTNT는 이번 공격에서 Tsunami(쓰나미) 백도어 대신 Sliver(슬리버)라는 오픈소스 C2(명령 및 제어) 프레임워크를 채택했다. 슬리버의 유연성과 은밀한 작동 방식 덕분에 공격자는 감염된 서버를 원격으로 제어할 수 있다. 또한, 이번 공격에서는 AnonDNS(익명 DNS)라는 익명성 DNS 서비스를 사용해 TeamTNT의 웹 서버 위치를 은닉했다. 이를 통해 기존 모니터링 시스템이 감지하지 못하도록 공격을 숨길 수 있었다.

이번 공격의 초기 징후는 클라우드 모니터링 업체인 데이터독(Datadog)에서 발견되었다. 데이터독은 공격 초기, Docker 인스턴스를 ‘도커 스웜’으로 묶으려는 시도를 발견했으며, 이는 TeamTNT의 작업일 가능성이 크다고 판단되었다. 해당 발견으로 인해 TeamTNT는 초기 계획을 수정해야 했으며, 보안팀이 대응책을 마련할 시간을 벌어주었다.

트렌드마이크로 보고에 따르면, TeamTNT 외에도 프로메테이(Prometei) 봇넷과 같은 다른 그룹들도 암호화폐 채굴을 위해 다양한 공격 기법을 사용하고 있다. 프로메테이는 원격 데스크톱 프로토콜(RDP)과 서버 메시지 블록(SMB) 취약점을 이용해 네트워크 내에서 이동하며 암호화폐 채굴기를 설치하는 방식으로 확산한다. 프로메테이는 도커 환경을 넘어 기업 네트워크의 취약한 지점을 타깃으로 하고 있어 점점 더 많은 보안 위협이 될 전망이다. 

전문가들은 TeamTNT의 새로운 공격 방식이 클라우드 네이티브 인프라의 보안을 위협한다고 경고했다. 아쿠아 시큐리티에 따르면, 보안팀은 도커 API의 모니터링과 보안을 최우선으로 고려해야 하며, 공개 접근을 차단하고, 방화벽 규칙을 정기적으로 업데이트하는 것이 중요하다.

대체 보안 전략으로는 강력한 접근 관리 정책을 시행하고, 시스템 설정을 주기적으로 점검하며 네트워크 분할을 통한 보안을 강화하는 것이 있다. 클라우드 환경에 특화된 침입 탐지 시스템(IDS)을 도입해 비정상적인 활동을 신속히 탐지할 수도 있다.

아쿠아 시큐리티 및 여러 보안 업계 전문가들은 도커 허브와 같은 제3자 리소스를 사용할 때 주의를 기울여야 한다고 강조하며, 이미지의 진위 여부를 확인하고 이상 네트워크 활동을 모니터링해야 한다고 밝혔다. TeamTNT와 같은 위협 그룹과 프로메테이 봇넷과 같은 암호화폐 채굴 봇넷에 효과적으로 대응하려면 다층적인 접근 방식이 필요하며, 적극적인 보안 설정과 지속적인 모니터링이 필수적이다.

클라우드 인프라가 지속적으로 성장하면서 보안팀은 구성을 최신 상태로 유지하고, 권한 관리를 철저히 하며 실시간으로 취약점을 패치하는 노력이 중요하다.

◆2024 인공지능 보안 컨퍼런스 AIS 2024 개최(보안교육 7시간 이수)◆

-인공지능 기반 보안기술과 보안위협 대응 정보 공유-

-공공, 금융, 기업 정보보호 담당자 700여명 참석예정-

-일 시: 2024년 11월 5일(화) 09:00~17:00

-장 소: 더케이호텔서울 2층 가야금홀

-주 최: 데일리시큐

-참석대상: 정부, 공공, 금융, 기업 정보보호 담당자만 참석 가능(보안과 관련없는 자는 참석 불가)

-참가기업 모집: 국내외 인공지능, 보안자동화 기반 보안전문기업

-참가문의: 데일리시큐 길민권 기자 / mkgil@dailysecu.com

-참석자 사전등록: 클릭

(사전등록 필수, IT보안 관계자만 참석가능)

★정보보안 대표 미디어 데일리시큐 /Dailysecu, Korea's leading security media!★

■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★
저작권자 © 데일리시큐 무단전재 및 재배포 금지
길민권 기자
길민권 기자 다른기사 보기
  • 서울특별시 송파구 송파대로 201 테라타워2, B동 9층 913-2호
  • 대표전화 : 02-400-2908
  • 팩스 : 02-400-2906
  • 청소년보호책임자 : 길민권
  • 법인명 :
  • 제호 : 데일리시큐
  • 등록번호 : 서울 아 02362
  • 등록일 : 2012년 11월 26일
  • 발행일 : 2013년 11월 26일
  • 발행·편집인 : 길민권
  • 사업자 번호 : 301-87-02348
  • 데일리시큐 모든 콘텐츠(영상,기사, 사진)는 저작권법의 보호를 받는 바, 무단 전재와 복사, 배포 등을 금합니다.
  • Copyright © 2024 데일리시큐. All rights reserved. mail to mkgil@dailysecu.com
ND소프트