꼰머의 보안공부

1. AI를 악용한 공격도구의 등장

1. 개요

- ChatGPT 등 AI를 이용한 신기술이 등장하면서 다크웹에서도 이를 활용한 새로운 공격 도구들이 등장

2. 주요내용

- WormGPT

> 피싱 공격과 BEC 공격을 실시할 때 효과를 크게 높일 수 있다고 홍보

> 개인화된 매우 설득력 있는 가짜 이메일 생성을 자동화하여 공격의 성공 가능성을 높일 수 있음

- FraudGPT

> BEC 공격을 가능하게 해 주며, 한 달 200달러 구독료로 사용이 가능

> 스피어 피싱 이메일 생성, 크래킹 도구 및 카딩과 같은 공격적인 목적으로만 판매되고 있는 중

※ 참고

- PoisonGPT

> AI 보안 관련 기업 Mithril Security가 기존의 대규모 언어 모델에 거짓 정보를 추가하여 개발한 가짜 뉴스를 생성하는 채팅 AI
> AI 공급망의 전반적인 문제를 부각하고 대규모 언어 모델의 위험성을 전달하기 위해 PoisonGPT를 구축

3. 시사점

- 새로운 신기술을 악용하여 사이버 공격을 위한 진입장벽이 낮춰지는 중

- 벤더사에서 악용을 방지 하기위해 다양한 필터링 규칙 등을 적용하나 지속적으로 탈옥방법이 공유되는 중

- 다량의 잘못된 데이터를 고의로 학습시키는 등의 적대적 공격에 대한 대응이 필요

2. 폐쇄되었던 다크웹 해킹 포럼의 서비스 재개

1. 개요

- 국제 공조로 폐쇄되었던 다크웹 해킹 포럼이 최근 서비스를 재개하기 시작

2. 주요내용

- Genesis Market

> 17년부터 운영된 다크웹 해킹 포럼으로, 23.04 국제 공조를 통해 관련 인물 검거 및 포럼 폐쇄

> 전반적인 인프라부터 기존에 보유한 불법 데이터 또한 포함되어 거래

- BreachForums

> 22년부터 운영된 다크웹 해킹 포럼으로, 23.03 FBI의 수사로 포럼 운영자 검거 및 포럼 폐쇄

※ 참고

- BreachForums

> 익명의 사용자가 MyBB(무료 오픈 소스 포럼 소프트웨어)의 제로데이 취약점을 이용해 포럼에서 4,000명의 회원 데이터 유출
> 탈취한 데이터를 또 다른 공격자들이 재판매 하는 중

3. 시사점

- 기 유출된 데이터가 악용에 재사용 되지 않도록 관련 대응 강화 필요

- 다크웹뿐만 아니라 텔레그램을 통해 포럼을 홍보하는 것으로 판단되어 관련 모니터링 강화 필요

3. 서피스웹에서의 불법 데이터 거래 확산 

1. 개요

- 기존 접근이 제한되던 다크웹이 아닌 서피스웹에서의 불법 데이터 거래가 확산되는 중

2. 주요내용

- Cracked[.]io

> 홈페이지 하단 소개를 통해 공격 도구, 유출 데이터 거래 등을 제공한다고 소개 

3. 시사점

- 관련된 서피스웹 모니터링 강화 필요

1. 다크웹 해킹 포럼 폐쇄

1. 개요

- 미국 FBI 및 국제 공조로 다크웹 해킹 포럼이 연속적으로 폐쇄

2. 주요내용

- BreachForums 폐쇄

> 22년부터 23년까지 운영된 다크웹 해킹 포럼 (유출 정보 거래)

※ 22년 국제 사법 기관들의 공조로 폐쇄된 레이드포럼(RaidForums)의 대안 및 후속적인 역할 수행

> 주로 거래된 정보는 계좌 정보, 주민번호, 이메일 주소, 유출한 데이터베이스, 침해된 계정 정보 등

> 23년 3월 FBI의 수사로 포럼 운영자 검거 및 포럼 폐쇄

- Genesis Market 폐쇄

> 17년부터 23년까지 운영된 다크웹 해킹 포럼 (유출 정보 거래)

> 주로 거래된 정보는 쿠키, 크리덴셜 정보 등

> 23년 4월 국제 사법 기관들의 공조로 관련 인물 검거 및 포럼 폐쇄 

- Try2Check 폐쇄

> 05년부터 23년까지 운영된 다크웹 해킹 포럼 (카드 정보의 유효성 확인)

> 훔치거나 유출된 카드 정보를 대량으로 구매한 자들이 해당 정보 중 아직 활용 가능한 정보를 확인하기 위해 사용

> 23년 5월 국제 사법 기관들의 공조로 포럼 폐쇄 (운영자는 특정했으나 러시아에 거주 중이라 아직 검거되지 않음)

- 13곳의 DDoS 대행 서비스 폐쇄

>  DDoS 대행 서비스를 부터(Booter) 혹은 스트레서(Stresser)라 부름

> 공격자들은 다른 공격과 섞어 대행 서비스를 이용

> 23년 5월 국제 사법 기관들의 공조로 13곳 폐쇄

- 기타

> 록빗(LockBit) 랜섬웨어 그룹의 지도자급 인물 중 한 명이 캐나다에서 채포

> 레빌(REvil) 랜섬웨어 그룹의 일원 한 명이 폴란드에서 체포

> 랩서스(Lasus$) 해킹 그룹의 일원 한 명이 브라질에서 체포

3. 기타사항

- 다크웹 등을 통한 계정 정보 유출이 지속적으로 발생

> 기업들의 적극적인 조치(비밀번호 변경, 2차 인증 등) 필요

> 정보 유출 방지를 위해 최신 업데이트 적용, 취약점 분석 및 조치, 보안 교육 등 필요

- 폐쇄된 다크웹 해킹 포럼을 대체할 포럼이 지속적으로 생성되는 중으로 주의 필요

> BreachForums의 폐쇄로 어나니머스 출신이라 밝힌 한 인물이 kkksecforum 다크웹 포럼 개설을 트위터를 통해 알림

> 폐쇄된 13곳의 DDoS 대행사 중 10곳은 지난 22.12에 폐쇄된 서비스가 부활한 것

2. 구글, 다크웹 스캔 서비스 제공

1. 개요

- 구글에서 미국 사용자들을 대상으로 다크웹 스캔 서비스를 제공

2. 주요내용

- 미국 내 구글 원(Google One) 서비스 사용자들에게만 제공 중

- 다크웹을 스캔해 이름, 주소, 이메일 주소, 전화번호, 주민등록번호 등이 유통되고 있는지 확인할 수 있게 해 주는 서비스

- 다크웹에 정보가 있는 것으로 보이는 사용자에게는 자동으로 보고서와 권장 조치 사항들이 전달

3. 기타사항

- 관련 보고서를 곧 공개할 예정