다크트레이스(Darktrace)의 악성코드 연구 엔지니어 나다니엘 빌(Nathaniel Bill)은 6월 10일, 도커 기반 허니팟을 대상으로 한 침해 사고 분석 결과를 발표했습니다. 공격자는 잘못 구성된 컨테이너를 이용해 호스트로 탈출한 후, 합법적인 오픈소스 중국 서버 모니터링 도구(깃허브 스타 약 10,000개)인 네자(Nezha)를 은밀한 명령 및 제어(C2) 임플란트로 설치했습니다. 공격 체인은 악의적인 docker create 명령어로 시작되었는데, 이 명령어는 호스트의 cron.d 디렉토리를 컨테이너에 전달했습니다. 그런 다음 공격자는 루트 레벨 크론 작업을 작성하여 원격 셸 스크립트를 가져와 실행했고, 이 스크립트는 공격자의 서버 주소가 미리 구성되고 대화형 프롬프트가 제거된 수정된 버전의 네자 공식 설치 프로그램을 다운로드했습니다. 네자는 인정된 관리 도구이기 때문에 그 존재가 예상되는 운영 도구에 섞여 들어가 악성코드 중심 탐지를 회피할 수 있으며, 다크트레이스는 이 기술을 "신뢰 반전(trust inversion)"이라고 명명합니다. 분석 시점에 공격자의 네자 대시보드에는 141대의 감염된 서버가 표시되었고, 그중 45대는 여전히 온라인 상태였습니다. 이 캠페인은 또한 설계상의 특징을 드러냈습니다. 네자의 모니터링 패널은 호스트 목록을 보는 데 인증이 필요하지 않아 피해자 풀의 규모와 지리적 분포를 공개적으로 읽을 수 있습니다. 다크트레이스는 별도로 쇼단(Shodan)과 센시스(Censys)를 통해 접근 가능한 33개의 인터넷 연결 네자 설치를 식별했습니다.
한편, 중국어 VPS 커뮤니티에서는 방어 도구를 구축해 왔습니다. 깃허브 프로젝트 네자-클리너(Nezha-cleaner)(스타 41개, MIT 라이선스)는 네자 프로세스를 종료하고, systemd 서비스와 바이너리를 제거하며, 크론 항목을 지우고, 파일 시스템에서 잔여 흔적을 검사하는 10단계 배시 스크립트를 제공합니다. 이번 달에 출시된 v1.4는 관련 없는 컨테이너를 실수로 제거하는 것을 방지하기 위해 3계층 도커 보호 기능을 추가했습니다. 이 프로젝트는 2025년 5월에 처음 게시된 이후 빠르게 반복되어 왔으며, 이는 Linux VPS 호스트에서 승인되지 않은 네자 설치라는 근본적인 문제가 지속되고 있음을 시사합니다. 이러한 소스와 함께 연결된 NodeSeek 포럼 스레드는 탐지 및 수정에 대한 활발한 커뮤니티 논의를 반영합니다. 다크트레이스의 폭넓은 결론은 다음과 같습니다. 이중 용도 소프트웨어 남용이 더욱 보편화됨에 따라, 특히 합법적인 모니터링 도구와 공격자 백도어가 기능적으로 구별 불가능할 수 있는 클라우드 환경에서 조직은 서명 기반 악성코드 탐지에만 의존하기보다는 행동 및 자산 가시성 제어에 투자해야 합니다.