해커들이 모네로 채굴을 위해 말웨어 설치할 도커 플랫폼을 대거 스캔하는 중

26일자 ZDNet 보도에 따르면 한 해커 집단이 24일 대대적인 암호화폐 해킹(cryptojacking) 작업에 돌입해서 API 엔드포인트가 온라인 상으로 드러난 도커 플랫폼을 찾기 위해 59,000개가 넘는 IP 네트워크를 스캔하고 있다고 한다.

이 기사에 따르면 해커들은 모네로(XMR)로 채굴을 늘려 자금을 조달할 목적으로 취약한 도커 플랫폼에 암호화폐 말웨어(crypto-malware)를 배치하려 한다는 것이다.

이 대대적인 스캐닝 사건은 25일 미국의 인터넷 보안 전문회사 배드 포켓(Bad Packets LLC)에 의해 처음 포착됐다.

배드 포켓의 공동설립자이자 최고연구책임자인 트로이 머르시(Troy Mursch)는 노출된 도커 플랫폼을 집중 공략하는 전략이 오래 전부터 있었던 것으로 지금까지 자주 있었던 일이라고 말했다. 지난 2018년 3월 사이버보안 회사 임퍼바(Imperva)는 400개에 달하는 도커 서버(API 약점을 틈타서 원격 접속을 할 수 있는 서버)에 모네로 채굴 프로그램이 심어져 있었음을 발견했다고 말하기도 했다.

해커들은 '클래식' XMR 암호화폐 채굴 프로그램 동원

이번 해킹 공격을 처음 발견한 머르시는 ZDNet과의 인터뷰에서 해커들이 노출된 호스트를 발견하게 되면 API 엔드포인트를 동원하여 알파인 리눅스 OS 컨테이너를 가동시키며 이를 통해 해커의 서버로부터 배쉬(Bash) 스크립트를 다운로드 하고 가동을 시킨다는 것이다. 이 스크립트는 클래식 XMRRig 암호화폐 채굴 프로그램을 설치하게 된다.

머르시의 말에 따르면 이틀 만에 14.82개의 XMR을 채굴했다고 한다. 14.82 XMR은 현재 시가로 835 달러에 해당된다.

도커는 컨테이너를 통해서 소프트웨어의 개발, 설치, 가동을 쉽게 해주는 개발자 툴이다. 컨테이너를 통해 개발자들은 라이브러리나 다른 필요한 툴들을 어플리케이션에 한 패키지로 만들어 전달할 수 있다.

또 다른 약점을 만드는 것을 피하기 위해 머르시는 도커 플랫폼을 가동하는 사용자들이 인터넷 상에서 API 엔드포인트를 노출시키고 있는지 여부를 반드시 확인하고 그럴 경우 포트를 폐쇄하고 알지 못하는 컨테이너가 가동되고 있을 경우 이를 모두 차단하라고 조언했다.

25일 주요 암호화폐 거래소인 비트베이(BitBay)는 자금세탁 문제로 인해 모네로를 거래소에서 상장 폐지를 할 것이라고 발표했다. 이번 비트베이의 결정은 오케이엑스(OKEx)가 국제자금세탁방지기구(FATF)의 가이드라인에 맞춰 모네로를 상장 폐지하기로 결정한 다음에 나온 것이다.