일종의 스테가노그래피 기법 다시 등장...스키머 코드를 숨기는 건 드문 행위
수거한 정보를 이미지 파일 형태로 반출시키기도...메이지카트의 9번 그룹 연루?
[보안뉴스 문가용 기자] 한 사이버 범죄 단체가 웹 스키머를 이미지의 EXIF 메타데이터에 숨기면서 공격을 진행하고 있다는 사실이 드러났다. 주로 온라인 쇼핑몰을 공격하는 이 단체는, 상품 소개를 위해 이미지를 사용할 수밖에 없는 상인들의 입장을 적극 공략한 것이라고 보안 업체 멀웨어바이츠(Malwarebyes)는 설명했다.
[이미지 = utoimage]
이미지에 악성 코드를 숨기는 기법은 이미 오래 전부터 공격자들 사이에서 인기리에 활용되어 왔었다. 스테가노그래피라는 기술이 해커들 사이에서 유행한 게 이미 수년 전의 일이다. 그러나 웹 스키머를 이미지 파일에 숨긴 사례는 거의 없었다는 게 멀웨어바이츠 측의 설명이다. 스키머가 숨어 있는 이미지가 로딩된 웹 페이지에 접속한 사용자가 아무런 의심 없이 입력한 카드 정보와 개인정보는 공격자들에게 넘어간다.
멀웨어바이츠는 “이 지점에서 이번 공격 캠페인의 독특한 점이 드러나기 시작한다”고 설명한다. “이미지에 멀웨어를 심어 공격하는 것까지야 여태까지도 흔히 봐왔던 패턴이라고 할 수 있습니다. 하지만 훔친 정보를 이미지를 통해 빼내는 방법은 흔히 볼 수 없었던 것입니다. 이 공격자들이 바로 이런 유형의 정보 수집 행위를 보여주고 있습니다.”
어떤 식으로 공격 이뤄지나?
멀웨어바이츠에 의하면, 워드프레스의 우커머스(WooCommerce)라는 플러그인을 사용하고 있는 온라인 스토어에서부터 최초의 악성 자바스크립트가 로딩되고 있다고 한다. 해당 스토어 운영자가 정상적으로 사용하고 있는 자바스크립트에 부착되어 있는 형식이다. 이 스크립트는 해당 스토어의 로고 이미지를 가짜로 교체하는 기능을 가지고 있었다. 그리고 이 이미지의 저작권 관련 메타데이터에 웹 스키머가 숨어 있었다.
“이 스키머는 입력 필드의 내용물을 수거하도록 설계되어 있습니다. 주로 방문자들이 이름, 주소, 신용카드 정보 등을 입력하는 곳에서 해당 정보를 탈취한다는 뜻입니다.” 멀웨어바이츠의 설명이다. 또한 이 스키머는 수집된 데이터를 인코딩하고, 문자열을 반전시키며, 정보를 이미지 파일에 숨겨 외부 서버로 전송한다고 한다.
멀웨어바이츠의 연구원들은 이 캠페인을 추적하다가 스키머 소스코드의 복사본을 발견했다. 공격자들이 침해한 사이트의 한 디렉토리 내에 저장되어 있었다. 연구원들은 이를 통해 공격자들이 어떤 방식으로 로고 이미지 파일에 악성 스크립트를 주입했는지 한층 더 깊이 이해할 수 있을 것으로 기대하고 있다.
또한 멀웨어바이츠는 스키머의 이전 버전들을 발견하는 데도 성공했다. 최신 버전과 달리 탐지 방해 기능이나 난독화 기능을 가지고 있지 않았다. 주요 기능을 구성하는 코드는 전부 같았다.
이 코드 분석을 통해 온라인 쇼핑몰에 스키머 코드를 심는 것으로 유명한 메이지카트(Magecart)와의 연결 고리도 발견된 듯하다. 특히 메이지카트 내 ‘9번 그룹(Group 9)’으로 불리는 단체가 이번 공격과 관련이 있을 수 있다는 가능성이 제시됐다. 그러나 아직까지 정확한 건 아니라고 한다. 보다 더 명확한 근거는 추후 분석을 통해 드러날 전망이다.
3줄 요약
1. 이미지 파일 내 저작권 필드에 스키머 숨긴 공격 캠페인 발견됨.
2. 스키머 통해 수집된 정보는 다시 이미지 파일로 만들어져 외부로 전송됨.
3. 배후 세력 정확히 알 수 없으나 메이지카트가 유력.
[국제부 문가용 기자(globoan@boannews.com)]
수거한 정보를 이미지 파일 형태로 반출시키기도...메이지카트의 9번 그룹 연루?
[보안뉴스 문가용 기자] 한 사이버 범죄 단체가 웹 스키머를 이미지의 EXIF 메타데이터에 숨기면서 공격을 진행하고 있다는 사실이 드러났다. 주로 온라인 쇼핑몰을 공격하는 이 단체는, 상품 소개를 위해 이미지를 사용할 수밖에 없는 상인들의 입장을 적극 공략한 것이라고 보안 업체 멀웨어바이츠(Malwarebyes)는 설명했다.
[이미지 = utoimage]
이미지에 악성 코드를 숨기는 기법은 이미 오래 전부터 공격자들 사이에서 인기리에 활용되어 왔었다. 스테가노그래피라는 기술이 해커들 사이에서 유행한 게 이미 수년 전의 일이다. 그러나 웹 스키머를 이미지 파일에 숨긴 사례는 거의 없었다는 게 멀웨어바이츠 측의 설명이다. 스키머가 숨어 있는 이미지가 로딩된 웹 페이지에 접속한 사용자가 아무런 의심 없이 입력한 카드 정보와 개인정보는 공격자들에게 넘어간다.
멀웨어바이츠는 “이 지점에서 이번 공격 캠페인의 독특한 점이 드러나기 시작한다”고 설명한다. “이미지에 멀웨어를 심어 공격하는 것까지야 여태까지도 흔히 봐왔던 패턴이라고 할 수 있습니다. 하지만 훔친 정보를 이미지를 통해 빼내는 방법은 흔히 볼 수 없었던 것입니다. 이 공격자들이 바로 이런 유형의 정보 수집 행위를 보여주고 있습니다.”
어떤 식으로 공격 이뤄지나?
멀웨어바이츠에 의하면, 워드프레스의 우커머스(WooCommerce)라는 플러그인을 사용하고 있는 온라인 스토어에서부터 최초의 악성 자바스크립트가 로딩되고 있다고 한다. 해당 스토어 운영자가 정상적으로 사용하고 있는 자바스크립트에 부착되어 있는 형식이다. 이 스크립트는 해당 스토어의 로고 이미지를 가짜로 교체하는 기능을 가지고 있었다. 그리고 이 이미지의 저작권 관련 메타데이터에 웹 스키머가 숨어 있었다.
“이 스키머는 입력 필드의 내용물을 수거하도록 설계되어 있습니다. 주로 방문자들이 이름, 주소, 신용카드 정보 등을 입력하는 곳에서 해당 정보를 탈취한다는 뜻입니다.” 멀웨어바이츠의 설명이다. 또한 이 스키머는 수집된 데이터를 인코딩하고, 문자열을 반전시키며, 정보를 이미지 파일에 숨겨 외부 서버로 전송한다고 한다.
멀웨어바이츠의 연구원들은 이 캠페인을 추적하다가 스키머 소스코드의 복사본을 발견했다. 공격자들이 침해한 사이트의 한 디렉토리 내에 저장되어 있었다. 연구원들은 이를 통해 공격자들이 어떤 방식으로 로고 이미지 파일에 악성 스크립트를 주입했는지 한층 더 깊이 이해할 수 있을 것으로 기대하고 있다.
또한 멀웨어바이츠는 스키머의 이전 버전들을 발견하는 데도 성공했다. 최신 버전과 달리 탐지 방해 기능이나 난독화 기능을 가지고 있지 않았다. 주요 기능을 구성하는 코드는 전부 같았다.
이 코드 분석을 통해 온라인 쇼핑몰에 스키머 코드를 심는 것으로 유명한 메이지카트(Magecart)와의 연결 고리도 발견된 듯하다. 특히 메이지카트 내 ‘9번 그룹(Group 9)’으로 불리는 단체가 이번 공격과 관련이 있을 수 있다는 가능성이 제시됐다. 그러나 아직까지 정확한 건 아니라고 한다. 보다 더 명확한 근거는 추후 분석을 통해 드러날 전망이다.
3줄 요약
1. 이미지 파일 내 저작권 필드에 스키머 숨긴 공격 캠페인 발견됨.
2. 스키머 통해 수집된 정보는 다시 이미지 파일로 만들어져 외부로 전송됨.
3. 배후 세력 정확히 알 수 없으나 메이지카트가 유력.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
(1).jpg){kind=spacer}
(0).jpg){kind=spacer}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
