개요 

1. Flashpoint, 디폴트 관리자 계정을 사용하는 홈페이지 대상 데이터 탈취, 크립토마이닝 실행 등 공격 주의

 주요내용

1. 디폴트 계정을 사용하는 관리자 패널을 찾기 위해 Brute-force 공격 수행

        ※ Magento : 오픈소스 온라인 쇼핑몰 플랫폼으로 전세계적으로 점유율 상위권을 차지하고 있음
 

1. (특징) 공격자는 관리자 패널에 침투 성공한 뒤, 세 가지 방법으로 이득을 취함

       - 결제 페이지 內 자바스크립트 스니퍼를 심어서 카드 정보를 중간에서 탈취
       - 지불과 관계없는 웹사이트를 침해했을 때는 암호화폐(모네로)를 채굴하는 툴을 업로드 함
       - 가짜 Adobe Flash Player 다운로드 페이지로 리다이렉트 하여 악성 프로그램(AZORult) 다운로드 유도
          ※ AZORult : 데이터 탈취 악성코드이며, Rarog라는 모네로 채굴 악성코드를 추가 다운로드 
 

1. 주로 온라인 쇼핑몰이 가장 큰 피해를 보고 있고, 그다음은 교육 분야와 의료 분야의 홈페이지가 피해를 입었으며, 피해 IP 주소가 미국과 유럽에 집중적으로 분포되어있음  

 

1. 공격자들은 악성 파일을 매일 업데이트하여 시그니처 기반의 안티 멀웨어 툴들을 우회함

 

1. 피해 홈페이지가 1,000여개가 넘으며 대응을 위해 법 집행기관과 협력 중임을 밝힘

 

1. Magento 외에 Powerfront, OpenCart 등의 쇼핑몰 플랫폼에 대해서도 주의를 기울일 것을 당부

 

시사점

1. 크리덴셜에 관심을 가지고 관리해야 하며, 최소한 디폴트나 흔히 사용하는 비밀번호 사용 금지
2. 이중 인증 시스템을 도입하는 것도 좋은 방법이며, 파일이 변조되지 않았는지 주기적인 검증 필요

[출처]
1. Flashpoint, “Compromised Magento Sites Delivering Malware”, 2018.4.2.
2. Bleeping Computer, "Over 1,000 Magento Stores Hacked to Steal Card Data, Run Cryptojacking Scripts“, 2018.4.4

3. 한국인터넷 진흥원