클라우드 통해 암호화폐 채굴 멀웨어 퍼트리는 캠페인 주의보
- 클라우드의 취약점이나 설정 오류를 자동화 기술로 탐지
- 찾아낸 후 여러 단계 거쳐 채굴 멀웨어 설치
- 최대한 넓게 퍼트리고, 최대한 오래 채굴하고
여러 클라우드 환경의 취약점과 설정 오류들을 공략하는 대규모 캠페인이 발견됐다. 공격자들의 목적은 그런 클라우드에 침투하여 암호화폐 채굴 멀웨어를 최대한 많은 시스템에 설치하는 것이다. 보안 업체 위즈(Wiz)는 해당 캠페인에 소코404(Soco404)라는 이름을 붙였다. 공격자들이 가짜 404 오류 페이지를 띄워 피해자들을 속이고 있기 때문이다.
“공격자들은 가짜 404 오류 페이지를 만든 후 구글사이트(Google Sites)라는 웹 개발 도구로 만들어진 웹 사이트들에 주입합니다. 그리고 악성 페이로드를 그 페이지에 호스팅하죠. 리눅스와 윈도 OS 사용자들이 이런 사이트에 접속하면 오류 페이지를 띄우고, 악성 페이로드를 다운로드 받게 합니다.” 여기서 악성 페이로드는 채굴 멀웨어다.
현재는 위즈가 구글에 신고함으로써 해당 사이트의 가짜 404 오류 페이지들은 전부 삭제된 상태다. 하지만 이런 식의 캠페인이 어느 정도나 진행됐는지 정확히 알 수 없으며, 따라서 피해 규모가 얼마나 되는지도 파악하기 힘들다고 한다. “특정 대상들을 노린 ‘표적형’ 공격은 아닌 것으로 보입니다. 아무나 걸리면 공격하는, 보다 광범위한 성질의 캠페인이었습니다. 또한 가짜 페이지들이 삭제되긴 했지만 공격 인프라 자체가 비활성화 된 건 아닙니다. 오히려 아직까지도 공격은 진행되고 있습니다.”
공격의 자동화
위즈는 소코404 공격자들이 자동화 기술을 활용해 취약한 클라우드 서비스들을 찾아낸다고 보고 있다. “알려진 취약점이 패치되지 않았는지, 또 환경 설정 오류가 존재하는지를 빠르게 스캔하는 것이죠. 그런 것들을 통해 환경 내로 침투하기 위한 것입니다. 하나하나 수작업으로 찾아내려면 많은 시간이 걸릴 테지만, 자동화 기술을 사용하니 짧은 시간으로 다량의 공격을 실행할 수 있습니다. 채굴 멀웨어를 최대한 많은 곳에 심어 암호화폐를 가져가는 게 이들의 목적임을 알 수 있습니다.”
공격자들이 악용하는 것 중 하나는 오픈소스 데이터베이스인 포스트그레SQL(PostgreSQL)다. 여기에는 원격 코드 실행을 지원하는 기능이 있는데, 이를 공격자들이 남용하고 있다고 위즈는 설명한다. “원격 코드 실행 기능을 공격자들이 마음대로 사용할 수 있게 되면 악성 페이로드를 자유롭게 심고 실행시킬 수 있죠. 이들은 이 기능이 잘못 설정돼 있는 곳을 계속해서 찾고 있습니다.”
또 다른 구멍은 아파치톰캣(Apache Tomcat) 인스턴스들 중 전체 공개가 되어 있는 것들이다. 공격자들은 지금도 이런 인스턴스들을 찾아 침해하고 있다고 한다. “비공개가 되어 있더라도 취약한 비밀번호로 보호되어 있다면 뚫고 있습니다. 따라서 아파치톰캣을 사용하고 있다면 비밀번호를 빠르게 수정하는 게 좋을 겁니다.”
한국의 한 교통 시설 웹사이트에도 페이로드가 호스팅 되어 있다고 위즈는 경고했다. 해당 시설의 이름은 공개되지 않았다.
광범위한 공격, 지속되는 공격
위에서 공격자들의 목표가 최대한 많은 시스템을 침해해 채굴을 광범위하게 진행하는 것이라 했다. 같은 시간 안에 거둘 수 있는 이익을 최대화 하려는 것이다. 이런 맥락에서 공격자들은 채굴 시간 자체를 늘리려고도 한다. 즉 시스템에서 최대한 제거되지 않도록 손을 쓰고 있다는 것이다. 이 역시 ‘이익 최대화’와 연결돼 있다.
“리눅스 시스템에서 공격자들은 자신들의 악성 스크립트를 메모리에서 곧바로 실행시킵니다. 디스크에 코드를 남기지 않으니 탐지가 잘 되지 않는 것이죠. 이 악성 스크립트는 시스템 내 돌아가는 다른 모든 채굴 프로세스를 끄고, 자신들의 채굴 코드만 돌아가게 환경을 조성합니다. 그런 후 로그도 조작해 포렌식과 분석도 방해합니다.”
윈도에서는 어떨까? “윈도용 바이너리를 활용합니다. 이 바이너리는 일종의 로더인데, 윈도 시스템 드라이버의 일종인 WinRingO.sys에 진짜 악성 페이로드를 주입시킵니다. 그런 후 그 시스템 드라이버의 이름으로 프로세스를 생성해 채굴을 시작하죠. 그 외에 윈도 이벤트 로그 서비스를 차단하기도 하고, conhost.exe라는 프로세스를 스포닝 한 후, 똑같은 악성 행위를 반복하기도 합니다.”
Related Materials
- Soco404: Multiplatform Cryptomining Campaign Uses Fake Error Pages to Hide Payload - Wiz Blog , 2025년
- Active Campaign Exploits Cloud Flaws for Cryptomining - InfoSecurity Magazine , 2025년
- Wiz exposes zombie hosting on its own 'host,' Google - SDxCentral , 2025년
- Soco404: New Stealthy Cryptojacking Campaign Exploits Cloud Misconfigurations and PostgreSQL to Mine Crypto - SecurityOnline , 2025년
