아태 지역에 뉴페이스가 등장했다. 갬블포스라고 현재는 이름이 붙은 상태인데, 주로 아태 지역의 여러 조직들을 노린다고 한다. 오픈소스만을 고집스럽게 사용해 SQL 주입 취약점을 공략한다는 특징을 가지고 있다.
[보안뉴스 문정후 기자] 아태 지역의 조직들을 노리는 새로운 공격 단체가 발견됐다. 이들의 주요 수법은 ‘SQL 주입’으로 특별할 것이 없다. 사용하는 도구도 일반적으로 누구나 구할 수 있는 오픈소스 모의 해킹 도구로, 이러한 측면에서도 특별할 것이 없다. 보안 업체 그룹IB(Group-IB)가 지난 9월 처음으로 발견했는데, 이들의 표적이 현재까지 도박 업체인 것을 감안해 갬플포스(GambleForce)라는 이름을 붙였다고 한다. 그렇지만 정부 기관, 도소매 업체, 여행 산업, 구인 구직 포털 등도 이들의 공격에 당했다.
[이미지 = gettyimagesbank]
갬플포스 캠페인
이번 주 그룹IB가 발표한 바에 따르면 현재까지 이들의 공격에 당한 곳은 최소 20군데가 넘는다고 한다. 호주, 인도네시아, 필리핀, 인도, 한국이 특히 많이 당한 것으로 분석되고 있다. 그룹IB의 수석 위협 분석가인 니키타 로스토브체프(Nikita Rostovcev)는 “어떤 경우 공격자들은 단순 정찰만 하고 다시는 나타나지 않기도 하지만 어떤 경우는 피해자 데이터베이스 깊은 곳에까지 침투해 각종 로그인 정보와 해시 처리된 비밀번호까지도 가져간다”고 설명한다. 피해 정도가 천차만별이라는 것이다.
SQL 주입 공격이란, 피해자의 시스템에 있는 웹 애플리케이션 데이터베이스 내에서 허용되지 않은 행위(데이터 유출, 조작, 삭제 등)를 실시할 수 있도록 해 주는 공격 기법의 일종으로, 사용자의 입력 필드와 매개변수에 악성 명령을 삽입할 수 있게 해 주는 취약점 때문에 가능해진다. SQL 주입 취약점은 웹 애플리케이션 생태계에서 가장 흔히 발견되는 취약점으로, 전체 웹 애플리케이션 취약점의 33%가 바로 이것이다(2022년 기준).
“SQL 공격은 실행하기가 간단한 편입니다. 그래서 방어하는 자 입장에서는 쉽게 간과하고, 공격하는 별다른 투자 없이 공격을 감행할 수 있죠.” 로스토브체프의 설명이다. 갬플포스도 별다른 특장점 없이 이러한 ‘간단함’에 기대어 공격의 성과를 올리고 있다는 것이라고 할 수 있다. “다만 극단적으로 오픈소스만을 이용한다는 게 특이하긴 합니다. 저희가 이들의 C&C 서버를 분석했을 때 단 하나의 커스텀 도구도 발견할 수 없었습니다.”
오픈소스 모의 해킹 도구들
그룹IB가 공격자의 서버에서 발견한 도구들 중에는 다음과 같은 것들이 있었다.
1) dirsearch : 숨겨진 파일과 디렉토리를 찾아주는 도구
2) redis-rogue-getshell : 레디스가 설치된 환경에서 원격 코드 실행을 가능하게 해 주는 도구
3) sqlmap : SQL 취약점을 찾아서 익스플로잇 해 주는 도구
4) 코발트 스트라이크(Cobalt Strike) : 최초 침해 후 여러 행위 실행
특이한 점이 하나 있다면 공격자들의 C&C 서버에서 발견된 코발트 스트라이크는 중국어 명령어를 실행시킬 수 있었다는 것이었다. 물론 그것만으로 공격자가 중국 출신이라고 결론을 내리기에는 섣부르다. “그런데 C&C 서버가 파일을 로딩할 때 중국어로 된 프레임워크가 호스팅 된 곳에서 파일들을 가져오는 것을 발견할 수 있었습니다. 이것이 또 다른 힌트가 되었습니다.”
그렇다면 갬플포스는 어떤 데이터를 훔치고 있는 걸까? 여태까지 그룹IB가 발견해 분석한 바에 의하면 이들이 특별히 구체적으로 노리는 데이터는 없는 것으로 보인다고 한다. “닥치는 대로, 손 닿는 거라면 뭐든지 수거해가는 것처럼 보였습니다. 평문으로 된 파일에서부터 해시 처리된 비밀번호까지도요. 공격자들이 이렇게 훔친 데이터를 가지고 뭘 하려는지는 아직 정확히 알 수 없습니다.”
그룹IB의 연구원들은 사법 기관과 함께 공격자들이 사용하고 있던 C&C 서버들을 폐쇄시켰다고 한다. 그러나 그것이 “안심해도 된다는 뜻은 아니”라고 강조한다. “그 어떤 공격 단체도 서버 하나 사라졌다고 와해되지 않습니다. 이들 역시 다시 뭉치고 공격 인프라를 재구성해서 새로운 캠페인을 시작할 겁니다.”
3줄 요약
1. 아태 지역 노리는 새로운 공격 단체, 갬블포스.
2. 주로 도박 업체 노리지만 정부 기관이나 다른 산업의 업체들에서도 피해 발견됨.
3. SQL 주입 공격을, 오픈소스 도구로만 실행하는 중.
[국제부 문정후 기자(globoan@boannews.com)]
[보안뉴스 문정후 기자] 아태 지역의 조직들을 노리는 새로운 공격 단체가 발견됐다. 이들의 주요 수법은 ‘SQL 주입’으로 특별할 것이 없다. 사용하는 도구도 일반적으로 누구나 구할 수 있는 오픈소스 모의 해킹 도구로, 이러한 측면에서도 특별할 것이 없다. 보안 업체 그룹IB(Group-IB)가 지난 9월 처음으로 발견했는데, 이들의 표적이 현재까지 도박 업체인 것을 감안해 갬플포스(GambleForce)라는 이름을 붙였다고 한다. 그렇지만 정부 기관, 도소매 업체, 여행 산업, 구인 구직 포털 등도 이들의 공격에 당했다.
[이미지 = gettyimagesbank]
갬플포스 캠페인
이번 주 그룹IB가 발표한 바에 따르면 현재까지 이들의 공격에 당한 곳은 최소 20군데가 넘는다고 한다. 호주, 인도네시아, 필리핀, 인도, 한국이 특히 많이 당한 것으로 분석되고 있다. 그룹IB의 수석 위협 분석가인 니키타 로스토브체프(Nikita Rostovcev)는 “어떤 경우 공격자들은 단순 정찰만 하고 다시는 나타나지 않기도 하지만 어떤 경우는 피해자 데이터베이스 깊은 곳에까지 침투해 각종 로그인 정보와 해시 처리된 비밀번호까지도 가져간다”고 설명한다. 피해 정도가 천차만별이라는 것이다.
SQL 주입 공격이란, 피해자의 시스템에 있는 웹 애플리케이션 데이터베이스 내에서 허용되지 않은 행위(데이터 유출, 조작, 삭제 등)를 실시할 수 있도록 해 주는 공격 기법의 일종으로, 사용자의 입력 필드와 매개변수에 악성 명령을 삽입할 수 있게 해 주는 취약점 때문에 가능해진다. SQL 주입 취약점은 웹 애플리케이션 생태계에서 가장 흔히 발견되는 취약점으로, 전체 웹 애플리케이션 취약점의 33%가 바로 이것이다(2022년 기준).
“SQL 공격은 실행하기가 간단한 편입니다. 그래서 방어하는 자 입장에서는 쉽게 간과하고, 공격하는 별다른 투자 없이 공격을 감행할 수 있죠.” 로스토브체프의 설명이다. 갬플포스도 별다른 특장점 없이 이러한 ‘간단함’에 기대어 공격의 성과를 올리고 있다는 것이라고 할 수 있다. “다만 극단적으로 오픈소스만을 이용한다는 게 특이하긴 합니다. 저희가 이들의 C&C 서버를 분석했을 때 단 하나의 커스텀 도구도 발견할 수 없었습니다.”
오픈소스 모의 해킹 도구들
그룹IB가 공격자의 서버에서 발견한 도구들 중에는 다음과 같은 것들이 있었다.
1) dirsearch : 숨겨진 파일과 디렉토리를 찾아주는 도구
2) redis-rogue-getshell : 레디스가 설치된 환경에서 원격 코드 실행을 가능하게 해 주는 도구
3) sqlmap : SQL 취약점을 찾아서 익스플로잇 해 주는 도구
4) 코발트 스트라이크(Cobalt Strike) : 최초 침해 후 여러 행위 실행
특이한 점이 하나 있다면 공격자들의 C&C 서버에서 발견된 코발트 스트라이크는 중국어 명령어를 실행시킬 수 있었다는 것이었다. 물론 그것만으로 공격자가 중국 출신이라고 결론을 내리기에는 섣부르다. “그런데 C&C 서버가 파일을 로딩할 때 중국어로 된 프레임워크가 호스팅 된 곳에서 파일들을 가져오는 것을 발견할 수 있었습니다. 이것이 또 다른 힌트가 되었습니다.”
그렇다면 갬플포스는 어떤 데이터를 훔치고 있는 걸까? 여태까지 그룹IB가 발견해 분석한 바에 의하면 이들이 특별히 구체적으로 노리는 데이터는 없는 것으로 보인다고 한다. “닥치는 대로, 손 닿는 거라면 뭐든지 수거해가는 것처럼 보였습니다. 평문으로 된 파일에서부터 해시 처리된 비밀번호까지도요. 공격자들이 이렇게 훔친 데이터를 가지고 뭘 하려는지는 아직 정확히 알 수 없습니다.”
그룹IB의 연구원들은 사법 기관과 함께 공격자들이 사용하고 있던 C&C 서버들을 폐쇄시켰다고 한다. 그러나 그것이 “안심해도 된다는 뜻은 아니”라고 강조한다. “그 어떤 공격 단체도 서버 하나 사라졌다고 와해되지 않습니다. 이들 역시 다시 뭉치고 공격 인프라를 재구성해서 새로운 캠페인을 시작할 겁니다.”
3줄 요약
1. 아태 지역 노리는 새로운 공격 단체, 갬블포스.
2. 주로 도박 업체 노리지만 정부 기관이나 다른 산업의 업체들에서도 피해 발견됨.
3. SQL 주입 공격을, 오픈소스 도구로만 실행하는 중.
[국제부 문정후 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
