JINX-0132 해커 그룹의 공격
보안 회사 Wiz는 JINX-0132라는 해커 그룹이 대규모 암호화폐 채굴 공격을 위해 DevOps 도구의 구성 취약점을 악용하고 있다고 밝혔습니다. 이들이 목표로 삼은 도구에는 HashiCorp Nomad/Consul, Docker API, Gitea가 포함되며, 약 25%의 클라우드 환경이 위험에 처해 있는 것으로 나타났습니다.
공격 방법과 영향
공격 방법은 Nomad의 기본 구성으로 XMRig 채굴 소프트웨어를 배포하고, 무단 Consul API 접근을 통해 악성 스크립트를 실행하며, 노출된 Docker API를 제어해 채굴 용기를 생성하는 방식입니다. Wiz의 데이터에 따르면, DevOps 도구의 5%는 공용 인터넷에 직접 노출되어 있으며, 30%는 구성 결함이 존재합니다.
보안 권장 사항
보안 팀은 사용자에게 소프트웨어를 신속하게 업데이트하고, 필요 없는 기능을 비활성화하며, API 접근 권한을 제한할 것을 권장합니다.
구성 관리의 중요성
이번 공격은 클라우드 환경의 구성 관리 중요성을 부각시키고 있습니다. HashiCorp의 공식 문서에서도 관련 위험에 대한 경고가 있었음에도 불구하고, 많은 사용자들이 기본적인 보안 기능을 활성화하지 않았습니다. 전문가들은 간단한 구성 조정으로도 대부분의 자동화된 공격을 예방할 수 있다고 강조합니다.
