Microsoft 경고: 사이버 범죄자는 OpenMetadata 결함을 악용하여 암호화폐를 채굴합니다.

지난 3월 공개된 패치되지 않은 OpenMetadata 취약점은 악의적인 공격자들에 의해 적극적으로 악용되어 Kubernetes 환경에 접근하고 암호화폐 채굴 악성코드를 설치하고 있습니다. 이러한 취약점을 통해 공격자는 인증을 우회하고, 원격 코드 실행을 얻고, AWS 자격 증명을 도용하여 피해자의 리소스에서 암호화폐를 채굴할 수 있습니다. Microsoft에서는 관리자가 OpenMetadata 이미지를 최신 버전으로 업데이트하고 강력한 인증을 구현하여 이러한 위험을 완화할 것을 권장합니다.

Cybercriminals Exploit OpenMetadata Vulnerabilities to Mine Cryptocurrency, Microsoft Warns

사이버 범죄자들이 암호화폐 채굴을 위해 OpenMetadata 취약점을 악용하고 있다고 Microsoft가 경고했습니다.

In a chilling exposé, Microsoft has unveiled a disturbing trend: cybercriminals are actively exploiting vulnerabilities in OpenMetadata, an open-source software suite, to mine cryptocurrency at the expense of unsuspecting victims. These exploits, which have been ongoing since early April, are targeting Kubernetes environments where OpenMetadata is deployed without the necessary security patches.

소름 끼치는 폭로에서 Microsoft는 충격적인 추세를 공개했습니다. 사이버 범죄자들은 ​​의심하지 않는 피해자를 희생시키면서 암호화폐를 채굴하기 위해 오픈 소스 소프트웨어 제품군인 OpenMetadata의 취약점을 적극적으로 악용하고 있습니다. 4월 초부터 진행 중인 이러한 공격은 필요한 보안 패치 없이 OpenMetadata가 배포된 Kubernetes 환경을 대상으로 합니다.

Unpatched OpenMetadata Systems: A Gateway for Malicious Actors

패치되지 않은 OpenMetadata 시스템: 악의적인 행위자를 위한 관문

OpenMetadata vulnerabilities, disclosed in March, encompass a range of critical and high-severity flaws that can be exploited to bypass authentication and gain remote code execution (RCE) within OpenMetadata deployments. Microsoft's threat intelligence team has identified five specific CVEs that are being leveraged in these attacks:

3월에 공개된 OpenMetadata 취약점에는 OpenMetadata 배포 내에서 인증을 우회하고 원격 코드 실행(RCE)을 얻는 데 악용될 수 있는 심각하고 심각도가 높은 다양한 결함이 포함됩니다. Microsoft의 위협 인텔리전스 팀은 이러한 공격에 활용되고 있는 5가지 특정 CVE를 식별했습니다.

• CVE-2024-28255: Critical improper authentication vulnerability (CVSS: 9.8)
• CVE-2024-28847: High-severity code-injection vulnerability (CVSS: 8.8)
• CVE-2024-28253: Critical code-injection vulnerability (CVSS: 9.4)
• CVE-2024-28848: High-severity code-injection vulnerability (CVSS: 8.8)
• CVE-2024-28254: OS command injection vulnerability (CVSS: 8.8)

These vulnerabilities provide attackers with a gateway into vulnerable systems, allowing them to penetrate OpenMetadata containers and execute malicious commands. The attackers' primary objective is to surreptitiously mine cryptocurrency using the victims' computing resources.

CVE-2024-28255: 심각한 부적절한 인증 취약점(CVSS: 9.8)CVE-2024-28847: 심각도가 높은 코드 주입 취약점(CVSS: 8.8)CVE-2024-28253: 심각한 코드 주입 취약점(CVSS: 9.4)CVE -2024-28848: 심각도 높음 코드 주입 취약점(CVSS: 8.8)CVE-2024-28254: OS 명령 주입 취약점(CVSS: 8.8) 이 취약점은 공격자에게 취약한 시스템에 대한 게이트웨이를 제공하여 OpenMetadata 컨테이너에 침투하고 악성 명령을 실행합니다. 공격자의 주요 목표는 피해자의 컴퓨팅 리소스를 사용하여 은밀하게 암호화폐를 채굴하는 것입니다.

The Attack Sequence: A Step-by-Step Account

공격 순서: 단계별 설명

The attack sequence begins with attackers scanning for Kubernetes-based deployments of OpenMetadata that are exposed to the internet. Once they identify vulnerable systems, they exploit the unpatched CVEs to gain access to the container. From there, they execute a series of commands to gather intelligence about the victim's environment, including network and hardware configuration, OS version, and active users.

공격 순서는 공격자가 인터넷에 노출된 OpenMetadata의 Kubernetes 기반 배포를 검색하는 것으로 시작됩니다. 취약한 시스템을 식별한 후에는 패치가 적용되지 않은 CVE를 악용하여 컨테이너에 대한 액세스 권한을 얻습니다. 여기에서 일련의 명령을 실행하여 네트워크 및 하드웨어 구성, OS 버전, 활성 사용자 등 피해자의 환경에 대한 정보를 수집합니다.

"As part of the reconnaissance phase, the attackers read the environment variables of the workload," explained Microsoft security experts Hagai Ran Kestenberg and Yossi Weizman. "Those variables may contain connection strings and credentials for various services used for OpenMetadata operation, which could lead to lateral movement to additional resources."

Microsoft 보안 전문가인 Hagai Ran Kestenberg와 Yossi Weizman은 "정찰 단계의 일부로 공격자는 작업 부하의 환경 변수를 읽습니다."라고 설명했습니다. "이러한 변수에는 OpenMetadata 작업에 사용되는 다양한 서비스에 대한 연결 문자열과 자격 증명이 포함될 수 있으며, 이로 인해 추가 리소스로의 측면 이동이 발생할 수 있습니다."

Crypto-Malware Deployment and Remote Access

암호화 멀웨어 배포 및 원격 액세스

Once they have gained a foothold, the attackers download crypto-mining malware from a remote server in China. In some cases, the attackers have even left behind a desperate plea, hoping to evoke sympathy from their victims:

공격자는 일단 거점을 확보한 후 중국의 원격 서버에서 암호화폐 채굴 악성코드를 다운로드합니다. 어떤 경우에는 공격자들이 피해자들의 동정심을 불러일으키기를 바라며 절박한 탄원을 남기기도 했습니다.

"Hi man. I've seen several organizations report my Trojan recently. Please let me go. I want to buy a car. That's all. I don't want to hurt others. I can't help it. My family is very poor. In China, it's hard to buy a suite. I don't have any accommodation. I don't want to do anything illegal. Really, really if you are interested, you can give me XMR, my address is…"

"안녕하세요. 최근 여러 조직에서 내 트로이 목마를 신고하는 것을 봤습니다. 저를 놓아주세요. 차를 사고 싶습니다. 그게 전부입니다. 다른 사람에게 피해를 주고 싶지 않습니다. 어쩔 수 없습니다. 우리 가족은 매우 가난합니다. 중국에서는 스위트룸을 구입하기가 어렵습니다. 불법적인 일은 하고 싶지 않습니다. 정말 관심이 있으시면 XMR을 알려주십시오. 제 주소는…

It remains unclear whether this sob story has swayed any victims into transferring Monero crypto-coins to the attackers.

이 슬픈 이야기로 인해 피해자가 모네로 암호화폐를 공격자에게 전송하게 되었는지 여부는 아직 확실하지 않습니다.

After deploying the mining malware, the attackers establish a reverse shell connection using Netcat to maintain remote access to the container. Additionally, they install cronjobs for scheduling, ensuring that the malware will execute at predetermined times.

공격자는 채굴 악성코드를 배포한 후 Netcat을 사용하여 역방향 셸 연결을 설정하여 컨테이너에 대한 원격 액세스를 유지합니다. 또한 일정을 잡기 위해 cronjob을 설치하여 맬웨어가 미리 결정된 시간에 실행되도록 합니다.

Protecting Against Crypto-Mining Exploits

암호화폐 채굴 공격으로부터 보호

Microsoft strongly urges administrators running OpenMetadata workloads in their Kubernetes clusters to ensure that the image is up to date. If OpenMetadata is exposed to the internet, strong authentication measures should be implemented, and default credentials should be avoided.

Microsoft는 Kubernetes 클러스터에서 OpenMetadata 워크로드를 실행하는 관리자에게 이미지를 최신 상태로 유지할 것을 강력히 권장합니다. OpenMetadata가 인터넷에 노출되는 경우 강력한 인증 조치를 구현해야 하며 기본 자격 증명을 피해야 합니다.

These vulnerabilities serve as a sobering reminder of the importance of timely security patching and the consequences of neglecting software updates. Organizations are advised to adopt a proactive approach to vulnerability management to mitigate the risks posed by malicious actors.

이러한 취약점은 시기적절한 보안 패치의 중요성과 소프트웨어 업데이트 무시의 결과를 일깨워주는 역할을 합니다. 조직은 악의적인 행위자가 제기하는 위험을 완화하기 위해 취약성 관리에 대한 사전 예방적 접근 방식을 채택하는 것이 좋습니다.