[보안뉴스] 웹 서비스 2곳의 오픈소스 공격해 4K 웹사이트 침해
[보안뉴스 문가용 기자] 해커들이 두 가지 서비스를 침해해 자바스크립트
코드를 조작함으로써 4600개가 넘는 웹사이트들을 멀웨어로 감염시키는 데 성공했다. 이를 제일 처음 발견한 건 보안 전문가 빌렘 드 그루트(Willem de
Groot)다. 그는 트위터를 통해 이 사건의 전모를 공개했다. 드 그루트에 의하면 이 공격에 당한 건 피크릴(Picreel)이라는 웹 서비스다. 웹사이트 운영자들이 방문자들의
행동을 분석할 수 있게 해주는 일종의 데이터 분석 서비스다. “피크릴은 지난 5월 11일에 해킹됐습니다. 피크릴
사용자들이 데이터 분석을 위해 임베드 하는 자바스크립트 코드를 감염시키는 데 성공한 것으로 보입니다.”
이 움직임 하나로 피크릴의 고객 사이트 1200여 개에서 데이터가 흘러나오기 시작했다.
그러더니 드
그루트는 또 다른 트윗을 통해 클라우드CMS(CloudCMS)라는 서비스도 해킹을 당했다고 알렸다. 클라우드CMS는 콘텐츠 배포 네트워크(CDN)의 일종으로, 꽤나 많은 사이트들이 이 서비스를 기반으로 구축되어
있다. “공격자들은 알파카 폼즈(Alpaca Forms)라는
스크립트들을 조작했고, 이 공격으로 피해를 입은 사이트는 3400개
정도 됩니다.” 알파카 폼즈는 웹사이트 운영자들이 웹 양식을 만들 수 있게 해주는 오픈소스 프로젝트다.
북한의 공격 단체 스카크러프트, 최근 블루투스도 공격에
활용 [보안뉴스 문가용 기자] 북한 정부와 연결되어 있는 사이버 공격
단체인 스카크러프트(Scarcruft), APT37, 그룹123(Group123)이
전략과 툴킷을 계속해서 진화시키고 있다고 보안 업체 카스퍼스키 랩(Kaspersky Lab)이 발표했다. 스카크러프트는 최소 2012년부터
활동을 해온 그룹으로, 북한 정부에게 이득이 되는 사이버 공격을 진행하는 것으로 알려져 있다. 스카크러프트에 대해 2016년 최초로 공개한 것은 카스퍼스키였고, 그 후로도 정기적으로 스카크러프트와 관련된 새로운 소식을 전하고 있다. 작년에는 보안 업체 팔로알토 네트웍스(Palo Alto Networks)가 새로운 안드로이드용
백도어를 발견하며, 스카크러프트의 것이라고 주장하기도 했다. 그런
상태에서 카스퍼스키가 이번에 “스카크러프트가 최근 모바일 환경을 공격하는 데에 집중하고 있는 것이 맞다”고 발표한 것이다.
그렇다면 카스퍼스키의
보안 전문가들이 새롭게 발견한 스카크러프트의 ‘업그레이드’는 무엇일까? “블루투스 장비 수확기(Bluetooth device harvester)”라고 묘사한다. “매우
드문 공격 도구입니다. 다운로더를 통해 공격 목표가 된 시스템에 심겨지며, 윈도우 블루투스 API를 사용해,
해당 시스템에 블루투스로 연결된 장비들로부터 정보를 수집합니다. 장비의 이름, 주소, 유형, 연결성
여부, 블루투스 장비로서 등록이 되어 있는지 등의 정보가 주로 수집됩니다.”
[패치 및 업데이트] 금일 최신 패치 및 업데이트는 없습니다.
[최신 바이러스 정보] Backdoor/Win32.Shiz
최초 발견일: 2019-05-14 종 류: 백도어
형 태: 실행파일
감염/설치경로: 파일실행,메일,다운로드
설 명: Backdoor/Win32.Shiz는 감염된 PC에 원격 엑세스하여 사용자의
금융정보를 탈취하고 금전적인 피해를 입히는것을 돕는 백도어이다. Trojan/Win32.Burn4free
최초 발견일: 2019-05-14
종 류: 트로이목마
형 태: 실행파일
감염/설치경로: 파일실행,메일,다운로드
설 명: Trojan/Win32.Burn4free는 Ikysasoft srl uninominale에서 개발한 Burn4Free CD 및 DVD 레코딩 프로그램인 Burn4free.exe로 위장한 악성코드이다.
[보안 TIP] 최근 발견된 2가지 랜섬웨어, 닮은 점 여러 개 발견
[보안뉴스 문가용 기자] 최근 새롭게 발견된 랜섬웨어인 메가코텍스(MegaCortex)에서 록커고가(LockerGoga) 랜섬웨어와의
유사성이 발견됐다. 메가코텍스는 지난 주 보안 업체 소포스(Sophos)가
상세히 발표한 멀웨어로, 영화 ‘매트릭스’를 테마로 했다는 특징을 가지고 있으며 미국, 유럽, 캐나다 등지에서 여러 조직들을 감염시키고 있다. 발표 이후로도 메가코텍스에 대한 조사는 계속됐다. 피해자들은 침해된 도메인 제어기에서부터 공격이 시작된다고 제보했고, 공격자들은
훔친 관리자 크리덴셜을 가지고 파워셸 스크립트를 실행시킨다는 걸 알게 됐다. 보안 업체 시스코(Cisco)의 수석 위협 솔루션 관리자인 제시카 베어(Jessica Bair)는
“이 두 가지 특성 모두 굉장히 독특한 것”이라고 말했다.
또한 소포스는 메가코텍스 랜섬웨어가 대부분 이모텟(Emotet)과 큐봇(Qbot)에 이미 감염된 조직이나 시스템에서 주로 발견된다는 특징도 발견했다.
이모텟과 큐봇 모두 그 자체로 멀웨어이기도 하지만, 추가 감염을 실시하는 데에도 널리 활용되는
것으로 악명이 높다. 소포스는 “이모텟과 큐봇을 먼저 탐지해내는 작업을 실시하는 게 도움이 될 것”이라고
발표했다.
소포스는 이번 주 메가코텍스에 대해 추가적인 사실들을 알아냈다. “지난 주 최초 발표
이후 새로운 사실들을 몇 가지 찾아냈습니다. 주로 세부적인 내용들인데,
이걸 전부 합쳐서 보면 한 가지 커다란 특성이 떠오릅니다. 바로 록커고가라는 랜섬웨어와
많은 부분 닮아 있다는 겁니다. 코드는 비슷하지 않은데, 희한하게
다른 부분에서 유사성이 나오고 있습니다.” 소포스의 수석 연구원인 쳇 위즈니우스키(Chet Wisniewski)의 설명이다.
록커고가와의 관계성
록커고가는 최근 알루미늄 업계 대기업인 노르스크 하이드로(Norsk Hydro)를 공격한
것으로 유명해진 랜섬웨어다. 뒤이어 미국과 유럽의 주요 산업 시설에서 발견되기도 했다. 현재까지 나타난 록커고가의 주요 특징은, 침투한 시스템의 비밀번호를
바꾸고 피해자를 강제로 로그아웃 시켜 접근하지 못하게 한다는 것이다.
그런데 이 록커고가의 특징들이 메가코텍스에서도 발견된다고 위즈니우스키는 설명한다. “두
랜섬웨어 모두, 공격자들이 침해된 도메인 제어기를 사용해 주요 페이로드를 퍼트립니다. 그리고 내부 네트워크에서부터 리버스 셸을 열어 자신들의 C&C 서버와 연결시킵니다. 이 때
C&C 주소 중 일부가 같다는 걸 발견했습니다. 즉 록커고가 공격과 메가코텍스 공격에
사용된 인프라가 살짝 겹친다는 겁니다.”
또한 메가코텍스는 암호화 하려는 파일들의 이름부터 바꾼다는 특징을 가지고 있다. 이는
랜섬웨어 생태계에서는 매우 드문 일이다. 암호화가 끝난 후 파일 이름을 바꾸는 게 보통이다. 그런데 록커고가에서도 이런 특징이 있었다. “랜섬웨어 공격자들이
같은 파일을 두 번 암호화하는 사고를 일으키지 않기 위해 이런 식의 방식을 채택한 것으로 보입니다.”
여기에 더해 배치 파일을 공격에 사용하는 부분에서도 둘이 비슷했다. “록커고가의 공격이
진행되는 동안 다른 프로세스들을 꺼버리기 위해 사용하는 배치 파일들과, 메가코텍스의 그것들이 거의 완벽하게
똑같습니다. 물론 그렇다고 해서 코텍스의 출처와 록커고가의 출처가 동일하다고 결론을 내릴 수는 없습니다. 지금으로서는 우연인지 필연인지 비슷한 부분이 많다는 것만 알 수 있는 것이죠.”
메가코텍스는 전혀 상관이 없는 멀웨어 패밀리들 중 서명된 것들의 CN(일반명, common name)을 흉내 낸 CN을 사용해 바이너리를 서명하기도
한다. “예를 들어 메가코텍스 멀웨어의 실행파일 중 하나를 서명하는 데 사용된 암호화 인증서의 CN을 요청했을 때, 금융 기관을 대상으로 한 크리덴셜 탈취형 멀웨어인
리트스푸프(Rietspoof)가 결과로 나왔습니다. 코드에서나
그 어떤 면에서도 전혀 상관이 없는 멀웨어인데 말이죠.”
이 부분에 대해서 위즈니우스키는 “공격자들이 이렇게 하는 이유를 모르겠다”고 말한다. “그러나
공격자들은 수사를 방해하기 위해 쓸데없는 기능과 절차를 마구 집어넣기도 합니다. CN을 이런 식으로
조작하는 것도 그러한 행위의 일환일 수 있습니다.”
인증서를 추적하다가 또 하나 재미있는 사실을 발견할 수 있었다. “인증서에 나타난 주소가
런던의 롬퍼드라는 장소였어요. 또한 74000개 이상의 영국
기업체들과도 관련이 있는 것으로 나타났고요. 기타 다른 멀웨어 바이너리들을 서명하는 데에 이 주소를
가진 인증서들이 다수 발행되거나 사용되었다는 증거를 찾아낼 수 있었습니다. 아직 이 부분에 대한 추적은
계속되고 있습니다.”
그러나 이 주소와 사이버 범죄 행위, 그리고
74,000개의 기업의 관계에 대해서는 정확히 파악되지 않고 있다. |