해커들의 XWiki 보안 취약점 악용
최근 보고서에 따르면, 해커들은 콘텐츠 생성용 웹 기반 플랫폼인 XWiki의 보안 취약점을 악용하여 자신이 소유하지 않은 컴퓨터에서 프로그램을 실행하고 있습니다. XWiki의 템플릿 시스템의 버그로 인해 악의적인 행위자들이 허가 없이 Monero (XMR) 암호화폐를 채굴할 수 있게 되었습니다.
해킹 과정
해커들은 불행한 피해자의 컴퓨터에 작은 프로그램(x640)을 다운로드하는 요청을 보냅니다. 이후 또 다른 요청이 이 프로그램을 실행하고, 해당 프로그램은 두 개의 추가 스크립트(x521 및 x522)를 다운로드하여 Monero 채굴기(tcrond)를 설치하고 이를 실행하며 감염된 기기에서 다른 채굴을 중지시킵니다.
Monero 토큰 전송
해킹된 컴퓨터로 채굴된 Monero 토큰은 c3pool.org를 통해 전송됩니다.
CISA의 경고
CISA의 데이터를 인용한 Hacker News 보고서에서는 해커들이 비슷한 방식으로 원격으로 코드를 실행할 수 있게 해주는 DELMIA Apriso의 보안 취약점도 언급했습니다.
피해 예방 조치
암호화폐를 불법적으로 채굴하는 크립토재킹의 피해자가 될 가능성이 있는 사람들은 IP를 차단하고 c3pool.org와의 연결을 모니터링해야 합니다. 또한, 기존 컴퓨터에서 발견된 채굴기와 관련된 파일도 삭제해야 합니다.
