주의: 기사 원문 해석에 의역 또는 오류가 있을수 있습니다.
현재 해커들이 인터넷을 대량 스캔하여 API 엔드 포인트가 온라인에 노출된 Docker 플랫폼을 찾고 있다고 합니다.
이러한 스캔의 목적은 해커 그룹이 Docker 인스턴스에 명령을 전송하고
Docker 인스턴스에 불법적으로 암호화폐 채굴 프로그램을 설치 함으로써,
자신들이 그 수익을 가져가기 위함 입니다.
이와 같은 대량 스캔 작업은 11월 24일 주말에 시작되었으며, 스캔범위가 워낙커서 쉽게 눈에 띄었습니다.
"노출 된 Docker 인스턴스를 대상으로하는 익스플로잇 활동은 새로운 것이 아니며 자주 발생합니다."라고 Bad Packets LLC의 수석 연구 책임자이자 공동 설립자 인 Troy Mursch가 말했습니다.
이 공격과 관련하여 지금까지 알려진 바는, API가 노출 된 Docker 인스턴스를 찾기 위해 59,000 개 이상의 IP 네트워크 (넷 블록)를 스캔하고 있다는 것과,
그룹이 노출 된 호스트를 식별하면 공격자는 API 엔드 포인트를 사용하여 다음 명령을 실행하는 Alpine Linux OS 컨테이너를 시작한다는 것입니다.
위 주소는 다음의 악성코드를 다운로드 받습니다.
(하지만 현재 상기 주소를 확인한 결과, 이미 차단/삭제된것으로 보여집니다.)
나도 이거 겪어본지 2년도 더 넘은거 같은데...
기사에는 해당 공격이 최근에 발생된일인 걸로 읽어서
제목을 임으로 수정했는데,,
아마도 예전에 발견된 공격패턴과 관련된 대량 스캔이 최근에 일어난 일인가보네요.
원문데로 수정해야겠습니다.
네, 그런 문제도 있긴 하지만...
(공식 레포에 있는건) 대부분 빨리 제거 되긴 합니다.
참고로 본문기사에 있는 내용은 도커관리용 API의 취약점을 이용해서
악성코드를 내려받아 해당 도커를 가로채 장악하는것 같습니다.