동아시아 사용자들 노린 웹사이트 침해 공격...성인 사이트로 우회 접속돼

요약 : 보안 외신 시큐리티위크에 의하면 동아시아 사용자들이 주로 방문하는 웹사이트 수천 개가 침해됐다고 한다. 이 사이트들에 접속하려 하면 방문자들은 해당 사이트가 아니라 성인 콘텐츠로 채워진 사이트들로 접속된다고 한다. 이 캠페인은 2022년 9월부터 시작된 것으로 보이며, 공격자들은 FTP 크리덴셜을 활용해 이 같은 공격을 실시하고 있는 것으로 분석됐다. 피해 사이트는 1만 개 정도로 추산되며, 대부분 중소기업이나 개인이 운영하는 사이트들이었다. 호스팅 업체도 다르고, 웹사이트 구축에 사용된 기술도 달라 공격자들이 어떤 식으로 침해하는지 밝혀내는 게 어려웠다고 한다.


배경 : 피해 웹사이트들에는 HTML 코드가 한 줄씩 추가되어 있었다. 원격에 호스팅 되어 있는 자바스크립트 스크립트를 불러 오는 내용이었다. 사이트가 실행되면 이 스크립트가 저절로 다운로드 됐다. 다운로드 되는 스크립트들은 제각각이었지만 공통점이 많았고, 특히 방문자가 크롤러인지, 안드로이드를 사용하고 있는지 등을 확인하여 스크립트를 발동시킨다는 점에서 똑같았다.

말말말 : “다운로드 되는 자바스크립트들이 너무나 유사하기 때문에, 같은 공격 단체가 배후에 있다고 생각됩니다. 즉 하나의 단체가 수많은 웹사이트를 계속해서 침해하고 있다는 뜻입니다.” -위즈(Wiz)-
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>