'Commando Cat' - 노출된 Docker 컨테이너를 노리는 새로운 사이버 공격

몇 달 동안 사이버 범죄자들은 잘못 구성된 Docker 컨테이너를 이용해 암호화폐 채굴을 수행하는 방법으로 이익을 취해왔습니다.

'Commando Cat'이라는 캠페인은 올해 초부터 시작된 Docker 공격 중 하나로, 최근 Trend Micro의 업데이트에 따르면, 알려지지 않은 공격자들이 여전히 Docker 구성 오류를 악용하여 컨테이너화된 환경에 무단으로 접근하고, Docker 이미지를 사용해 암호화폐 채굴기를 배포하여 빠른 수익을 올리고 있습니다.

Docker 컨테이너 조작

오랫동안 컨테이너화 기술은 조직에 유용한 도구로 사용되어 왔습니다.

하지만 최근에는 사이버 공격자들에게도 유용한 도구로 사용되고 있습니다.

"Cado Security의 R&D 리드 솔루션 엔지니어인 Al Carchrie에 따르면, 사이버 범죄자들은 이러한 Docker 기능을 활용하여 자신의 컨테이너를 인프라에 실행시키고 있습니다.

이를 위해 두 가지 방법을 사용할 수 있습니다.

 

첫째, 라이브러리에 컨테이너를 등록한 후, 해당 라이브러리에서 악성 코드를 포함한 컨테이너를 호출하여 실행시키는 방법입니다.

 

둘째, 최근에는 라이브러리들이 악성 컨테이너를 탐지하는 데 뛰어난 성능을 보이기 때문에, 이러한 방법을 회피하는 경향이 있습니다.

 

Commando Cat은 다른 접근 방식을 취합니다. 즉, 악성 코드를 실행할 수 있는 빈 컨테이너를 사용합니다.

이를 위해 공격자는 노출된 엔드포인트를 식별합니다.

이 경우, 이러한 엔드포인트는 Docker 원격 API 서버입니다.

대부분의 경우, 이는 잘못된 구성으로 인해 발생합니다.

클라우드, 온프레미스, 하이브리드 환경에서 많은 사건에서 보듯이, 이는 거의 모두 관리 소홀로 인한 것입니다,"라고 Carchrie는 설명합니다.

공격자는 노출된 엔드포인트를 초기 접근 수단으로 사용하여, 오픈 소스 도구인 Commando를 통해 무해한 Docker 이미지를 배포한 후 이를 기반으로 새로운 컨테이너를 생성합니다.

그런 다음, 'chroot' Linux 명령어와 볼륨 바인딩을 사용하여 호스트 시스템의 디렉터리를 Docker 컨테이너와 연결하고, 컨테이너 외부를 엿보고 최종적으로 호스트 운영 체제로 탈출합니다.

결국, 공격자는 명령 및 제어(C2) 채널을 구축하고 암호화폐 채굴 악성 코드를 업로드할 수 있게 됩니다.

조직이 취할 수 있는 조치

Commando Cat의 공격은 올해 초보다 간소화된 방식으로, 페이로드에는 대상 시스템에 백도어를 설치하고, 지속성을 유지하며, 클라우드 자격 증명을 탈취하는 스크립트가 포함되었습니다.

분명한 것은, 이러한 공격이 다른 상황에서 암호화폐 채굴 이상의 결과를 초래할 수 있다는 것입니다.

이러한 위험을 완화하기 위해, Trend Micro는 조직들이 공식 또는 인증된 Docker 이미지만을 사용하고, 루트 권한으로 컨테이너를 실행하지 않으며, 정기적인 보안 감사를 수행하고, 컨테이너와 API에 대한 일반적인 지침과 모범 사례를 준수할 것을 권장합니다.

가장 중요한 것은, Carchrie는 "Docker 컨테이너의 API가 인터넷에 직접 접근할 수 없도록 하는 것"을 강조합니다.

---

XSCAN의 컨테이너 이미지 분석으로 보안성 강화

XSCAN의 컨테이너 이미지 분석 기능을 사용하면 Docker 컨테이너의 보안성을 크게 강화할 수 있습니다.

XSCAN은 패키지 정보, 레이어별 명령어 정보 및 비밀 키 정보를 제공하여 조직이 Docker 환경에서 발생할 수 있는 잠재적인 위협을 사전에 식별하고 대응할 수 있도록 지원합니다.

최신 보안 솔루션을 통해 안전한 컨테이너 환경을 유지하십시오.