2019.01.21

코인 채굴 악성코드, 텐센트∙알리바바 클라우드 보안 기능 삭제

Samira Sarraf | ARNnet
팔로알토 네트웍스의 유닛 42(Unit 42)가 코인 채굴 악성코드 문제를 해결하기 위해 공급업체들과 공조하고 있다.
 
Credit: Dreamstime

위협자 로크(Rocke)가 개발한 코인 채굴 악성코드에는 텐센트 클라우드와 알리바바 클라우드에서 개발한 다섯 가지 클라우드 보안 보호 및 모니터링 제품을 삭제할 수 있는 기능이 있다.

팔로알토 네트웍스 유닛 42의 발견은 로크 그룹이 사용한 리눅스 코인 채굴 악성코드의 새로운 샘플을 조사했다. 로크 그룹은 아이언 사이버범죄 그룹이 개발한 것으로 의심되며 2018년 8월 탈로스(Talos)가 처음에 공개한 엑스배스(Xbash) 악성코드와도 관련 있다.

발견 당시 탈로스는 다른 스크립트 채굴 악성코드와 관련된 다양한 프로세스를 죽이는 쉘 스크립트인 A7을 공개했다. 이 스크립트는 다양한 중국 안티바이러스 제품을 탐지하고 제거한다.

유닛 42는 로크 그룹이 10월에 수집한 샘플을 사용했으며 새로운 코드로 텐센트와 알리바바 클라우드 제품을 삭제할 수 있음을 보여준다.

유닛 42의 싱유 진과 클라우드 샤오는 블로그 게시물에서 "우리의 분석에서 이러한 공격은 보안 제품을 손상시키지 않았다. 오히려 합법적인 관리자와 동일한 방법으로 공격을 시작하여 호스트에 대한 완전한 관리 권한을 얻은 다음 이러한 모든 제품을 제거하기 위한 완전한 관리 제어를 악용했다"고 밝혔다. 

또한 진과 샤오는 자신들이 아는 한 이 코인 채굴 악성코드는 클라우드 보안 제품을 대상으로 하고 제거할 수 있는 고유한 기능을 개발한 최초의 악성코드군이라고 전했다. 

클라우드 서비스 업체들은 가트너가 서버 보안 운영 및 관리 제품으로 사용하는 클라우드 워크로드 보호 플랫폼(CWPP)으로 정의한 제품을 개발하고 있다.

유닛 42에 따르면, 로크 그룹이 사용하는 악성코드는 악의적인 행동을 나타내기 전에 에이전트 기반 CWPP에 의한 탐지를 피할 수 있는 기능을 만들어 냈다.

진과 샤오는 "좀더 구체적으로, 악성코드는 알리바바 클라우드와 텐센트 클라우드의 클라우드 보안 제품을 삭제한다"고 전했다. 
 
텐센트와 알리바바 클라우드는 사용자에게 웹 사이트에서 클라우드 보안 제품 삭제 방법을 알려주는 문서를 제공하고 있다.

진와 샤오는 "로크 그룹이 사용하는 악성코드는 알리바바 클라우드와 텐센트 클라우드가 제공하는 삭제 절차와 인터넷상의 임의의 블로그 게시물을 따른다"고 블로그 게시물에 썼다.

팔로알토 네트웍스 유닛 42는 텐센트 클라우드와 알리바바 클라우드와 협력하여 악성코드 회피 문제와 C2 인프라를 처리하고 있으며 악성 C2 도메인은 PAN-DB URL 필터링으로 식별하고 있다.  ciokr@idg.co.kr
 



2019.01.21

코인 채굴 악성코드, 텐센트∙알리바바 클라우드 보안 기능 삭제

Samira Sarraf | ARNnet
팔로알토 네트웍스의 유닛 42(Unit 42)가 코인 채굴 악성코드 문제를 해결하기 위해 공급업체들과 공조하고 있다.
 
Credit: Dreamstime

위협자 로크(Rocke)가 개발한 코인 채굴 악성코드에는 텐센트 클라우드와 알리바바 클라우드에서 개발한 다섯 가지 클라우드 보안 보호 및 모니터링 제품을 삭제할 수 있는 기능이 있다.

팔로알토 네트웍스 유닛 42의 발견은 로크 그룹이 사용한 리눅스 코인 채굴 악성코드의 새로운 샘플을 조사했다. 로크 그룹은 아이언 사이버범죄 그룹이 개발한 것으로 의심되며 2018년 8월 탈로스(Talos)가 처음에 공개한 엑스배스(Xbash) 악성코드와도 관련 있다.

발견 당시 탈로스는 다른 스크립트 채굴 악성코드와 관련된 다양한 프로세스를 죽이는 쉘 스크립트인 A7을 공개했다. 이 스크립트는 다양한 중국 안티바이러스 제품을 탐지하고 제거한다.

유닛 42는 로크 그룹이 10월에 수집한 샘플을 사용했으며 새로운 코드로 텐센트와 알리바바 클라우드 제품을 삭제할 수 있음을 보여준다.

유닛 42의 싱유 진과 클라우드 샤오는 블로그 게시물에서 "우리의 분석에서 이러한 공격은 보안 제품을 손상시키지 않았다. 오히려 합법적인 관리자와 동일한 방법으로 공격을 시작하여 호스트에 대한 완전한 관리 권한을 얻은 다음 이러한 모든 제품을 제거하기 위한 완전한 관리 제어를 악용했다"고 밝혔다. 

또한 진과 샤오는 자신들이 아는 한 이 코인 채굴 악성코드는 클라우드 보안 제품을 대상으로 하고 제거할 수 있는 고유한 기능을 개발한 최초의 악성코드군이라고 전했다. 

클라우드 서비스 업체들은 가트너가 서버 보안 운영 및 관리 제품으로 사용하는 클라우드 워크로드 보호 플랫폼(CWPP)으로 정의한 제품을 개발하고 있다.

유닛 42에 따르면, 로크 그룹이 사용하는 악성코드는 악의적인 행동을 나타내기 전에 에이전트 기반 CWPP에 의한 탐지를 피할 수 있는 기능을 만들어 냈다.

진과 샤오는 "좀더 구체적으로, 악성코드는 알리바바 클라우드와 텐센트 클라우드의 클라우드 보안 제품을 삭제한다"고 전했다. 
 
텐센트와 알리바바 클라우드는 사용자에게 웹 사이트에서 클라우드 보안 제품 삭제 방법을 알려주는 문서를 제공하고 있다.

진와 샤오는 "로크 그룹이 사용하는 악성코드는 알리바바 클라우드와 텐센트 클라우드가 제공하는 삭제 절차와 인터넷상의 임의의 블로그 게시물을 따른다"고 블로그 게시물에 썼다.

팔로알토 네트웍스 유닛 42는 텐센트 클라우드와 알리바바 클라우드와 협력하여 악성코드 회피 문제와 C2 인프라를 처리하고 있으며 악성 C2 도메인은 PAN-DB URL 필터링으로 식별하고 있다.  ciokr@idg.co.kr
 

X