Wins Security Information

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향워드 프레스 사이트, 가짜 랜섬웨어 공격에 이용되다
작성일 2021-11-17 조회 3221

WordPress

 

 

지난 주말부터 시작된 새로운 공격으로 인해 300개 가까운 워드프레스 사이트들이 해킹되고 있다. 이 워드 프레스 사이트에 가짜 암호문을 표시하여 사이트 관리자로 하여금 0.1 BTC를 지불하고 복구하도록 속이고 있는 것이다. 이 가짜 랜섬웨어 공격은 사이트 관리자로 하여금 긴급함을 유도하여 몸값을 지불하도록 만들기 위해 카운트 다운을 수행하는 타이머가 있다. 

 

0.1 BTC 가격은 이전에 발생했던 랜섬웨어 공격 사례들을 볼 때, 특별히 많은 액수를 의미하지는 않는다. 하지만 웹 사이트의 관리자에게는 상당한 액수가 될 수 있다. 

 

스모크 앤 미러 공격은 웹 사이트가 공격을 받지 않았으나 공격을 받은 것처럼 위장하는 공격을 말한다. 이번 워드 프레스 공격 또한 이러한 유형에 속한다. 워드 프레스 공격 사례를 보면 공격자는 웹 사이트가 암호화 하지 않고  설치된 워드 프레스 플러그인을 수정하기만 하였다. 이 플러그인은 몸값을 메모로 표시하는 것 이외에도 워드 프레스 게시물들을 모두 수정하여 게시되지 않은 상태로 유도한다. 이 사례에서는 수정된 플러그인을 제거하니 사이트는 정상적으로 돌아왔다. 

 

앞서 언급한 사례에서 네트워크 트래픽 로그에 대해 분석한 결과, 행위자의 IP 주소가 가장 먼저 나타난 지점이 wp-admin 패턴이라는 것을 알아냈다. 이는 공격자가 해당 웹 사이트의 관리자의 계정 자격 증명을 미리 가지고 있었다는 것을 의미한다. 이는 단순히 워드 프레스 사이트의 공격이 아닌 더 광범위한 공격 체인들 중 하나의 과정이라고 볼 수 있다. 

 

 

Bogus site encryption message

 

[그림 1. 공격 당한 워드 프레스 사이트]

 

이번 공격에서 악용된 플러그인을 조사한 결과, 해당 플러그인은 온라인 비즈니스 디렉토리 목록을 작성하는 도구이며, 이 플러그인이 설치되어 활성화된 웹 사이트는 291개였고, 이 사이트들 중 일부는 몸값 지불을 요구하는 페이지들을 보여주는 것으로 나타났다.  해당 공격에서 사용하는 BTC 지갑 주소는 다음 [그림 2]와 같다. 

 

 

 

 

[그림 2. 공격에 활용된 BTC 지갑 주소]

 

 

 

 

출처


https://www.bleepingcomputer.com/news/security/wordpress-sites-are-being-hacked-in-fake-ransomware-attacks/

https://www.blockchain.com/btc/address/3BkiGYFh6QtjtNCPNNjGwszoqqCka2SDEc

첨부파일 첨부파일이 없습니다.
태그 WordPress  Smoke and mirrors