포어사이트뉴스(Foresight News)의 보도에 따르면, 네트워크 보안 회사 카스퍼스키의 보고서에 의하면, 새로 발견된 리눅스 악성 소프트웨어 활동이 안전하지 않은 도커 인프라를 위협하고 있으며, 노출된 서버를 Dero 프라이버시 코인을 채굴하는 탈중앙화 암호화 하이재킹 네트워크의 일부로 만들고 있습니다.
이번 공격은 먼저 2375 포트에서 공개된 도커 API를 악용했습니다. 접근 권한을 얻으면 해당 악성 소프트웨어는 악의적인 컨테이너를 생성합니다. 이는 실행 중인 컨테이너를 감염시키고, 시스템 리소스를 훔쳐 Dero 악성 소프트웨어를 채굴하며, 중앙 명령 서버 없이 다른 대상을 스캔합니다. 소프트웨어 관점에서 도커는 컨테이너라는 작은 패키지 형태로 소프트웨어를 제공하는 운영 체제 수준의 가상화를 사용하는 애플리케이션 또는 플랫폼 도구 및 제품 세트입니다. 이 작업의 위협 행위자는 두 개의 Go 기반 침투 프로그램을 배포했습니다: 하나는 '엔진엑스(nginx)'(의도적으로 합법적인 웹 서버 소프트웨어로 위장), 다른 하나는 Dero의 실제 채굴 소프트웨어인 '클라우드(cloud)' 입니다. 호스트가 감염되면 엔진엑스 모듈은 계속해서 인터넷을 스캔하여 더 취약한 도커 노드를 찾고, Masscan과 같은 도구를 사용하여 대상을 식별하고 새로운 감염된 컨테이너를 배포합니다. 발각을 피하기 위해 지갑 주소와 Dero 노드 엔드포인트를 포함한 구성 데이터를 암호화하고 합법적인 시스템 소프트웨어가 일반적으로 사용하는 경로에 자신을 숨깁니다. 카스퍼스키는 2023년과 2024년 쿠버네티스 클러스터를 대상으로 한 초기 암호화 하이재킹 활동에서 사용된 지갑 및 노드 인프라가 동일하다는 것을 발견했으며, 이는 이것이 완전히 새로운 위협이 아니라 알려진 작업의 진화임을 나타냅니다.
