워드프레스 자격 증명 확인 도구로 위장한 트로이 목마 프로그램 활용해 약 1년간 공격
사이버 범죄 조직 MUT-1244가 워드프레스(WordPress) 계정 39만 개 이상을 탈취한 대규모 공격이 확인됐다. 워드프레스 사용 조직의 각별한 주의가 요구된다.
이들은 워드프레스 자격 증명 확인 도구로 위장한 트로이 목마 프로그램을 활용해 약 1년간 공격을 이어왔다. 이번 사건으로 SSH 개인 키, AWS 접근 키와 같은 민감 정보까지 유출되면서 사이버 보안 전문가와 침투 테스터, 심지어 다른 악성 행위자들까지 피해를 입었다.
데이타독 보안 연구소(Datadog Security Labs)에 따르면 MUT-1244는 다각적인 방식을 통해 피해자들을 감염시켰다. 이들은 악성 코드를 숨긴 깃허브(GitHub) 저장소를 만들어 유명 취약점에 대한 개념 증명(PoC) 코드를 찾는 보안 전문가와 위협 행위자들을 노렸다. 이 저장소들은 이름이 신뢰할 수 있는 것으로 보였고, 일부는 피들리 위협 인텔리전스(Feedly Threat Intelligence)와 벌몬(Vulnmon) 같은 합법적 정보 소스에도 포함돼 신뢰도를 높였다.
동시에 MUT-1244는 CPU 마이크로코드(CPU microcode) 업데이트로 위장한 가짜 커널 업데이트를 설치하도록 유도하는 피싱 캠페인을 전개해 피해자들이 악성 명령어를 실행하게 만들었다.
이번 공격에서 사용된 악성 코드는 피해자의 SSH 키, AWS 접근 토큰, 환경 변수, 그리고 ~/.aws 디렉터리와 같은 주요 파일을 포함한 민감 데이터를 탈취하도록 설계됐다. 이 악성 코드는 드롭박스(Dropbox)와 파일.io를 통해 유출 데이터를 전송했으며, 조사 결과 이 플랫폼에 접근할 수 있는 하드코드된 자격 증명이 발견됐다.
또한, 공격자는 암호화폐 모네로(Monero)를 채굴하는 채굴기를 배포해 피해자의 시스템을 악용했다.
MUT-1244는 워드프레스 자격 증명 확인 도구로 위장한 yawpp를 배포했다. 워드프레스 계정 정보를 검증하려는 악성 행위자들이 이 도구를 사용하면서 자신도 모르게 감염된 것이다. 연구원들은 "yawpp는 주로 불법적으로 획득한 자격 증명을 빠르게 확인하려는 위협 행위자들을 목표로 삼았다"고 밝혔다.
MUT-1244는 사이버 보안 커뮤니티의 신뢰를 악용해 백햇(Black Hat)과 화이트햇(White Hat) 모두를 표적으로 삼았다. 피해자들은 악성 코드를 실행함으로써 데이터 탈취는 물론 시스템 감염까지 당했다. 이 과정에서 연구원들과 보안 전문가들이 PoC 코드를 실행하며 감염된 경우도 많았다.
데이타독 연구소는 이번 캠페인이 여전히 진행 중이며, 수백 개 시스템이 추가로 감염되고 있을 가능성을 경고했다. 특히 신뢰할 수 없는 서드파티 도구와 저장소의 사용을 자제하고 엄격한 검증 절차를 통해 이러한 위협을 완화해야 한다고 조언했다.
★정보보안 대표 미디어 데일리시큐 /Dailysecu, Korea's leading security media!★
![[10년 전 그날] 호주 시드니 도심 카페서 IS 추정 인질극](https://www.jeonmae.co.kr/news/photo/202412/1102140_805409_184.png)
