2021-06-14 01:55 (월)
신종 Pro-Ocean 멀웨어, 클라우드 애플리케이션 공격…모네로 채굴에 집중
상태바
신종 Pro-Ocean 멀웨어, 클라우드 애플리케이션 공격…모네로 채굴에 집중
  • 길민권 기자
  • 승인 2021.01.31 16:24
이 기사를 공유합니다

Rocke 해커가 ‘Pro-Ocean’이라는 신종 크립토 재킹 악성코드를 사용해 아파치 ActiveMQ, 오라클 WebLogic 및 Redis의 취약한 인스턴스를 표적으로 삼고 공격하고 있는 것으로 조사됐다.

브리핑컴퓨터에 따르면, 이 새로운 멀웨어는 자체 확산 기능이 포함되어 있다. 발견 된 시스템에 무차별적으로 익스플로잇을 던진다는 점에서 그룹이 사용했던 이전 위협보다 한 단계 더 높아졌다.

Rocke 크립토 재킹 해커는 클라우드 애플리케이션을 공격하는 습관을 바꾸지 않았으며 알려진 취약성을 활용해 패치되지 않은 Oracle WebLogic(CVE-2017-10271) 및 Apache ActiveMQ(CVE-2016-3088) 서버를 공격했다.

이 멀웨어를 분석하는 팔로알토 네트웍스 연구원들은 악성 활동을 숨기고 네트워크의 패치되지 않은 소프트웨어로 확산 될 수 있는 새롭고 개선 된 루트킷 및 웜 기능이 포함되어 있다고 설명했다.

Pro-Ocean 멀웨어의 새로운 부분은 개발자가 악의적인 활동을 은폐하는데 도움이 된다는 것이다. 공개적으로 사용 가능한 코드를 구현해 루트킷 기능을 더욱 강화했다 점이다.

이 멀웨어는 파일을 숨길 필요가 있다고 판단되면 해당 파일이 존재하지 않는 것처럼 위장할 수 있다.

또 감염된 호스트에서 실행되는 다른 맬웨어 및 채굴자를 종료해 경쟁을 제거하고 방화벽 및 경보 모니터링 에이전트를 제거한다. 또 CPU 사용량을 감시하는 모듈과 함께 CPU 30% 이상을 사용하는 모든 프로세스를 제거한다. 이를 통해 모네로 채굴 활동을 최대한 유지하기 위해서다.

보안연구원들은 Pro-Ocean이 모든 클라우드 애플리케이션을 대상으로 공격을 확대할 수 있으며 알리바바나 텐센트 클라우드 서비스를 주요 타깃으로 하고 있다고 주장했다.

★정보보안 대표 미디어 데일리시큐!★