메인비주얼 영역
1
/
차세대 보안 기술의 혁신!
OUR SERVICE
세계적으로 인정받은
윈스의 기술력을
경험해보세요.
윈스는 고객의 편리하고 안전한 네트워크 활동을 지원하기 위해 정보보안 기술 개발에 집중, 기술선도와 고객만족으로 정보보안 시장을 리드하고 있습니다.
윈스 소개최신 보안 동향을 지금 확인하세요.
WINS SECURITY INFORMATION
14
2025.02
해커, Webflow CDN PDF에 CAPTCHA 기법을 사용해 보안 스캐너를 우회
Webflow 콘텐츠 전송 네트워크(CDN)에 호스팅된 가짜 PDF 문서를 활용하여 신용카드 정보를 훔치고 금융 사기를 저지르는 방식으로 수행되는 광범위한 피싱 캠페인이 관찰되었다.
한 보안 연구원에 따르면, 공격자는 검색 엔진에서 문서를 찾는 피해자를 대상으로 하여 악성 PDF에 접근하도록 유도하며 이 PDF에는 CAPTCHA 이미지가 포함되어 있고 해당 이미지를 클릭하면 피싱 링크로 연결되어 피해자가 민감한 정보를 입력하도록 유도된다."라고 설명했다.
2024년 하반기부터 지속된 이 활동은 Google과 같은 검색 엔진에서 도서 제목, 문서, 차트를 찾는 사용자들을 Webflow CDN에 호스팅된 PDF 파일로 리디렉션하는 방식을 포함한다.
이 PDF 파일에는 CAPTCHA 챌린지를 가장한 이미지가 포함되어 있으며 사용자가 이를 클릭하면 이번에는 실제 Cloudflare Turnstile CAPTCHA가 포함된 피싱 페이지로 이동하게 된다.
이러한 방법을 통해 공격자는 보안 확인 절차처럼 보이게 만들어 피해자들을 속이는 동시에 정적인 보안 스캐너의 탐지를 피하려는 목적을 가지고 있다.
사용자가 CAPTCHA 챌린지를 완료하면 이후 "다운로드" 버튼이 포함된 페이지로 리디렉션되며 이 버튼을 클릭하면 문서를 다운로드할 수 있는 것처럼 보인다.
그러나 피해자가 해당 단계를 완료하려고 하면 개인 정보 및 신용카드 정보를 입력하라는 팝업 메시지가 표시된다.
보안 연구원은 "피해자가 신용카드 정보를 입력하면 공격자는 해당 정보가 승인되지 않았다는 오류 메시지를 표시한다"라고 밝혔다.
[그림 1. Webflow CDN 피싱 검색 결과]
"만약 피해자가 두세 번 더 신용카드 정보를 입력하면 결국 HTTP 500 오류 페이지로 리디렉션된다."
이러한 공격 방식은 Telegram 및 사이버 범죄 시장에서 6개월간의 업데이트 및 보안 우회 기술을 포함하여 2,000달러에 판매되는 'Astaroth'라는 새로운 피싱 키트가 등장한 것과 동시에 이루어지고 있다.
피싱-서비스형(PhaaS) 공격과 유사하게 이 키트는 사이버 범죄자들이 가짜 로그인 페이지를 통해 사용자 계정 정보를 탈취하고 이중 인증(2FA) 코드를 가로챌 수 있도록 해준다.
보안 연구원에 따르면 "Astaroth는 Evilginx 스타일의 리버스 프록시를 활용하여 피해자와 Gmail, Yahoo, Microsoft와 같은 합법적인 인증 서비스 간의 트래픽을 가로채고 조작한다."라고 밝혔다.
"이 키트는 중간자 공격(man-in-the-middle) 방식으로 로그인 자격 증명, 인증 토큰, 세션 쿠키를 실시간으로 탈취하여 2FA를 효과적으로 우회할 수 있다."
출처
https://thehackernews.com/2025/02/hackers-use-captcha-trick-on-webflow.html
13
2025.02
Google, YouTube 사용자의 이메일 주소를 노출할 수 있는 결함 수정
Google은 두 개의 보안 취약점을 수정했으며 이 취약점이 함께 악용될 경우 YouTube 계정의 이메일 주소가 유출되어 익명성을 유지하려는 사용자들에게 심각한 프라이버시 침해를 초래할 수 있었다.
이 취약점은 보안 연구원들에 의해 발견되었으며 연구원들은 YouTube 및 Pixel Recorder API를 이용해 사용자의 Google Gaia ID를 획득한 후 이를 이메일 주소로 변환할 수 있음을 확인했다.
YouTube 채널을 운영자의 이메일 주소로 변환할 수 있다는 점은 익명성을 의존하는 콘텐츠 제작자, 내부고발자, 활동가들에게 큰 위협이 된다.
이 공격이 가능했던 첫 번째 취약점은 수개월 동안 악용될 수 있었으며 보안 연구원이 Google의 Internal People API를 분석하는 과정에서 발견되었다.
그는 Google 네트워크 전반에서 제공되는 차단(blocking) 기능이 암호화된 Gaia ID와 디스플레이 이름을 필요로 한다는 점을 확인했다.
Gaia ID는 Google이 네트워크 전반에서 계정을 관리하기 위해 사용하는 내부 고유 식별자(ID)로 Gmail, YouTube, Google Drive 등 모든 Google 서비스에서 동일하게 사용된다.
이 ID는 공개되지 않는 것이 원칙이며 Google 내부 시스템 간 데이터 공유를 위해서만 사용된다.
보안 연구원은 YouTube의 차단 기능을 테스트하는 과정에서 라이브 채팅에서 사용자를 차단하려 할 때 /youtube/v1/live_chat/get_item_context_menu API 응답에서 대상의 Gaia ID가 노출되는 문제를 발견했다.
API 응답에는 Base64로 인코딩된 데이터가 포함되어 있었으며 이를 디코딩하면 사용자의 Gaia ID를 추출할 수 있었다.
[그림 1. YouTube APT로부터의 응답]
연구원들은 단순히 채팅창에서 세 개의 점(더보기 메뉴)을 클릭하는 것만으로도 YouTube API에서 자동으로 요청을 보내도록 유도할 수 있었으며 이 과정에서 대상 사용자의 Gaia ID를 손쉽게 확보할 수 있음을 확인했다.
API 호출을 수정하면 익명을 유지하려는 모든 YouTube 채널의 Gaia ID를 추출하는 것이 가능해졌다.
이제 연구원들은 획득한 Gaia ID를 이메일 주소로 변환하는 방법을 찾는 것이 다음 과제가 되었다.
과거에는 이 작업이 가능했던 API가 있었으나 현재는 폐기되었거나 더 이상 작동하지 않기 때문에 연구원들은 오래되거나 유지보수가 중단된 Google 서비스에서 이를 악용할 방법을 찾기 시작했다.
실험을 거듭한 끝에 보안 연구원은 Pixel Recorder의 웹 기반 API를 이용하면 Gaia ID를 이메일 주소로 변환할 수 있다는 사실을 발견했다.
[그림 2. Pixel Recorder API로 Gaia ID를 이메일로 변환]
연구원들은 이 취약점을 악용할 경우 대상 사용자에게 이메일 알림이 발송된다는 점도 발견했는데 이는 공격 대상이 해킹 시도를 감지할 수 있는 단서가 될 수 있었다.
그러나 이메일 알림에 동영상 제목이 포함되는 점을 역이용하여 요청을 변조해 수백만 개의 문자로 구성된 제목을 포함시키는 방식으로 알림 서비스를 무력화하는 기법도 고안해냈다.
이러한 방식으로 Google의 이메일 알림 시스템이 오작동하게 만들어 공격이 탐지되지 않도록 우회할 수 있었다.
연구원들은 Google이 Gaia ID 유출 문제와 Pixel Recorder를 통한 이메일 변환 취약점을 수정했으며 이제 YouTube에서 사용자를 차단하더라도 해당 차단이 다른 Google 서비스에는 영향을 주지 않도록 변경되었다고 밝혔다.
출처
https://www.bleepingcomputer.com/news/security/google-fixes-flaw-that-could-unmask-youtube-users-email-addresses/
13
2025.02
연구원, 패치된 NVIDIA Container Toolkit 취약점 우회하는 새로운 익스플로잇 발견
사이버 보안 연구원들은 최근 패치된 NVIDIA Container Toolkit의 보안 취약점을 우회할 수 있는 새로운 공격 기법을 발견했다.
이를 악용하면 컨테이너의 격리 보호를 무력화하고 기본 호스트에 대한 완전한 접근 권한을 획득할 수 있다고 밝혔다.
이번에 새롭게 발견된 취약점은 CVE-2025-23359(CVSS 점수: 8.3)로 추적되고 있으며 다음 버전에서 영향을 받는다.
NVIDIA Container Toolkit (버전 1.17.3 이하 모든 버전) - 버전 1.17.4에서 수정됨
NVIDIA GPU Operator (버전 24.9.1 이하 모든 버전) - 버전 24.9.2에서 수정됨
해당 회사는 화요일에 발표한 보안 권고문에서 "NVIDIA Container Toolkit for Linux는 기본 설정에서 사용될 경우 Time-of-Check Time-of-Use(TOCTOU) 취약점을 포함하고 있으며 악의적으로 조작된 컨테이너 이미지가 호스트 파일 시스템에 접근할 수 있는 문제가 있다."고 설명했다.
"이 취약점을 성공적으로 악용할 경우 코드 실행, 서비스 거부(DoS), 권한 상승, 정보 유출 및 데이터 변조로 이어질 수 있다."
이번 보안 결함에 대한 추가 기술적 세부 정보를 공유한 클라우드 보안 기업에 따르면 이 취약점은 해당 회사가 2024년 9월에 수정한 또 다른 취약점(CVE-2024-0132, CVSS 점수: 9.0)의 우회 공격 기법에 해당한다고 밝혔다.
간단히 말해, 이 취약점은 공격자가 호스트의 루트 파일 시스템을 컨테이너에 마운트할 수 있도록 허용하며 이를 통해 모든 파일에 대한 무제한 접근이 가능해진다.
또한, 공격자는 이 접근 권한을 활용하여 권한이 상승된(privileged) 컨테이너를 실행하고 런타임 유닉스 소켓(runtime Unix socket)을 통해 전체 호스트를 장악할 수 있다.
클라우드 보안 기업의 보안 연구원은 컨테이너 툴킷의 소스 코드 분석을 진행한 결과 마운트 작업 중 사용되는 파일 경로를 심볼릭 링크로 조작할 수 있으며 이를 통해 컨테이너 외부(즉, 루트 디렉토리)에서 "/usr/lib64" 경로 내로 마운트하는 것이 가능하다는 점을 발견했다고 설명했다.
해당 취약점을 통해 획득한 호스트 파일 시스템 접근 권한은 원래 읽기 전용(read-only)이지만 유닉스 소켓을 조작해 새로운 권한이 상승된 컨테이너를 생성함으로써 이 제한을 우회할 수 있다.
연구원들은 "이러한 높은 수준의 접근 권한을 통해 네트워크 트래픽을 모니터링하고 활성 프로세스를 디버깅하며 다양한 호스트 수준의 작업을 수행할 수 있었다."고 밝혔다.
NVIDIA Container Toolkit 사용자는 최신 버전으로 업데이트하는 것이 필수적이며 특히 운영 환경에서 --no-cntlibs 플래그를 비활성화하지 말 것을 강력히 권장한다고 설명했다.
출처
https://thehackernews.com/2025/02/researchers-find-new-exploit-bypassing.html
