지난 2018년 시스코 탈로스가 처음 발견한 사이버 범죄 그룹 ‘Rocke’가 최근 TTP(전술, 기술, 절차)를 변경했다는 외신 보도가 나왔다. 이 그룹은 대규모 악성 크립토마이닝 캠페인을 다수를 운영한 것으로 알려져 있으며 중국어를 구사하는 사이버 범죄 그룹이다.
이들은 탐지를 피하기 위해 새로운 C2 인프라를 사용하고 악성코드를 업데이트한 것으로 조사됐다.
Rocke는 패치 되지 않은 아파치 스트럿츠(Apache Struts), 오라클 웹로진(Oracle WebLogic), 어도비 콜드퓨전(Adobe ColdFusion) 서버를 노리며 공격자가 제어하는 Gitee와 GitLab 저장소를 통해 크립토마이닝 악성코드를 드롭했다.
한편 지난 1월, Unit42팀은 새로운 Rocke 악성코드 샘플을 분석하던 중 텐센트 클라우드(Tencent Cloud)와 알리바바 클라우드(Alibaba Cloud)가 개발한 클라우드 보안 및 모니터링 제품 다수를 리눅스 서버에서 언인스톨 하는 코드를 발견했다.
Rocke의 새로운 악성코드는 Tencent Host Security와 Alibaba Cloud Threat Detection Service에서 추가한 로컬 에이전트를 노린다. 즉 클라우드에서 우위를 점하기 위한 전투가 시작된 것이다.
지난 5월, Rocke는 다른 크립토재킹 그룹인 패치 그룹(Pacha Group)의 크립토마이너를 공격했다.
Pacha Group은 Linux.GreedyAntd라는 가상 화폐 마이닝 악성코드를 배포하는 중국 해커 그룹이며, 2018년 9월 처음 발견되었다.
Rocke와 Pacha 해킹그룹 모두 대규모 악성 크립토마이닝 캠페인과 연결되어 있다. 이들은 서로의 크립토마이닝 악성코드를 중단시키며 취약한 클라우드 기반 인프라를 제어하기 위해 지속적으로 경쟁해 왔다.
Pacha Group은 크립토마이너를 중단시키기 위해 WordPress, PhpMyAdmin 등의 서비스에 브루트포싱 공격을 실시하고 유사한 서비스의 구버전에 존재하는 알려진 취약점을 악용했다.
2018년 4월 가상 화폐 채굴을 위해 Rocke 그룹이 사용한 악성코드는 기존에 실행 중인 크립토재킹 악성코드를 찾아내 중단시키는 “킬 리스트”를 포함하고 있었다. .
Pacha Group 또한 Linux.GreedyAntd의 블랙 리스트에 하드코딩된 IP 주소가 있는 것으로 나타났다.
이를 통해 트래픽을 감염된 시스템으로 되돌려 보내 마이닝 풀에 접근하지 못하도록 하여 Rocke의 크립토마이너를 차단할 수 있었다.
이 양쪽 그룹의 악성코드 변종은 아래와 같은 기능 등을 포함하고 있다.
- Alibaba Cloud와 Tencent Cloud의 클라우드 보안 및 모니터링 제품을 찾아 비활성화하는 기능
- Libprocesshider 경량 사용자 모드 루트킷 지원 내장
- 동일한 Atlassian 취약점 악용 기능
이 양쪽 그룹 모두 크립토재킹 캠페인을 위해 적극적으로 클라우드 인프라를 공격하던 중, 어느 한 쪽을 제거하고 취약한 클라우드 시스템을 차지하기 위해 경쟁한 것으로 추측되고 있다.