1,500개 이상의 PostgreSQL 서버를 노린 크립토재킹 캠페인 발견: XMRig 변종 활용

최근 Wiz의 연구진은 1,500개 이상의 잘못 구성된 PostgreSQL 서버를 표적으로 삼은 새로운 크립토재킹 캠페인을 발견했습니다. 공격자들은 악명 높은 XMRig 마이너의 변종을 배포하여 암호화폐를 훔치려 시도했습니다. 취약한 설정을 가진 PostgreSQL 서버는 사이버 범죄자들의 암호화폐 채굴 표적이 되어 전력 소비를 증가시키고 서버를 사실상 쓸모없게 만드는 상황에 놓였습니다.

JINX-0126: 취약한 PostgreSQL 서버를 노리는 공격 그룹

Wiz 위협 연구 전문가들은 이번 공격이 이미 관찰된 캠페인의 변종이라고 밝혔습니다. 'JINX-0126'이라고 명명된 공격 그룹은 추측하기 쉬운 취약한 로그인 자격 증명으로 구성된 PostgreSQL 인스턴스를 표적으로 삼고 있습니다. 일단 침투에 성공하면 XMRig-C3 크립토마이너를 배포합니다. XMRig는 모네로 암호화폐를 채굴하는 데 널리 사용되는 채굴기로, 비트코인과 같은 다른 채굴 가능한 통화보다 추적이 훨씬 어렵습니다.

모네로 채굴: 시스템 자원 고갈 및 비용 증가

암호화폐 채굴기는 장치의 컴퓨팅 파워 대부분을 사용하므로 다른 작업에 거의 사용할 수 없게 만듭니다. 또한 전력 소비를 증가시켜 결국 비용 증가로 이어집니다. 반면 사이버 범죄자들은 모네로를 자신의 지갑으로 직접 전송받아 이를 공개 시장에서 미국 달러 또는 다른 암호화폐로 판매할 수 있습니다. 이렇게 얻은 수익은 종종 다른 악성 캠페인에 사용됩니다.

진화하는 공격: 파일리스 배포 및 회피 기술

Wiz에 따르면, 이 캠페인은 Aqua Security 연구진에 의해 처음 문서화되었지만 이후 진화했습니다. 공격자들은 탐지를 피하기 위해 추가적인 방어 메커니즘을 구현하고 파일리스 방식으로 채굴기를 배포하는 것으로 알려졌습니다. 연구진은 공격자가 각 피해자에게 고유한 채굴 작업자를 할당하여 얼마나 많은 장치가 손상되었는지 쉽게 파악할 수 있도록 했습니다. 분석 결과, 이 캠페인은 1,500개 이상의 장치에 영향을 미쳤을 가능성이 높습니다.

잘못된 구성의 심각성: 클라우드 환경의 취약성 노출

연구진은 "잘못 구성된 PostgreSQL 인스턴스가 매우 흔하며, 이는 기회주의적인 공격자들이 악용할 수 있는 쉬운 진입점이 될 수 있음을 시사합니다. 또한 데이터에 따르면 클라우드 환경의 거의 90%가 자체적으로 PostgreSQL 인스턴스를 호스팅하며, 이 중 3분의 1은 인터넷에 공개적으로 노출된 인스턴스를 하나 이상 가지고 있습니다."라고 강조했습니다. 이는 클라우드 환경에서 PostgreSQL 서버의 보안 관리가 얼마나 중요한지를 보여주는 대목입니다.

결론

이번 크립토재킹 캠페인 사례는 PostgreSQL 서버의 보안 설정이 얼마나 중요한지를 다시 한번 강조합니다. 강력한 인증 방식을 사용하고, 불필요한 공개 노출을 피하며, 최신 보안 패치를 적용하는 것이 필수적입니다. 클라우드 환경에서는 특히 보안 구성에 주의를 기울여야 하며, 지속적인 모니터링을 통해 잠재적인 위협을 조기에 탐지하고 대응해야 합니다.