상세 컨텐츠

본문 제목

GitHub 서비스, 피싱 키트 호스팅에 악용돼

국내외 보안동향

by 알약(Alyac) 2019. 4. 26. 11:12

본문

GitHub Service Abused by Attackers to Host Phishing Kits


공격자들이 웹 기반 코드 호스팅 플랫폼인 GitHub에 피싱 키트를 호스팅 해온 것으로 나타났습니다. 이들은 해당 서비스의 무료 저장소를 악용하여 github.io 도메인을 통해 타깃으로 악성코드를 전달했습니다.


공격자들은 GitHub 페이지를 악용하여 화이트리스트와 네트워크 방어 장비를 모두 우회할 수 있게 되었습니다. 


드롭박스, 구글 드라이브, 페이팔, 이베이, 페이스북 등 고객이 많은 클라우드 스토리지 사이트, 소셜 네트워킹, 상거래 서비스를 사용할 경우 악성 행위를 정식 웹 트래픽 내에 숨길 수 있기 때문입니다.


Proofpoint의 연구원들은 공격자가 github.io 도메인을 피싱 공격을 포함해, 다양한 악성 캠페인의 일부로 사용하고 피해자를 GitHub의 서비스에서 호스팅 하는 랜딩 페이지로 이동시킨 것을 발견했습니다.


예를 들어, 악성 이메일을 통해 피해자들을 랜딩 페이지로 이동시키고, 피싱 키트를 호스팅 해, 소액 거래 은행 고객들의 크리덴셜을 탈취합니다.



 

[그림 1] GitHub에서 호스팅되는 악성 이메일 및 피싱 랜딩 페이지

<이미지 출처: https://www.proofpoint.com/us/threat-insight/post/threat-actors-abuse-github-service-host-variety-phishing-kits>


또한 연구원들은 GitHub에서 호스팅된 피싱 키트가 민감 정보 및 크리덴셜을 수집하고, 공격자들이 제어하는 해킹된 서버로 보낸다는 사실을 발견했습니다.


또한 이 피싱 키트는 PHP 기반 툴을 포함하지 않습니다. Github.io에 PHP 백엔드 서비스가 포함되지 않기 때문입니다. 


그리고 일부 공격자들은 github.io 도메인을 트래픽 리다이렉터로 사용해, 계정이 중단돼도 실제 피싱 페이지는 조금 더 오래 유지되도록 만들었습니다.


피싱 공격자들이 저렴한 방법을 찾아 모든 저장소 활동이 노출되는 무료 GitHub 계정을 이용했기 때문에, 연구원들이 공격자들의 활동을 모니터링할 수 있었습니다. 


이를 통해 피싱 키트가 활발히 공격자의 목적에 부합하게 커스터마이즈되고 있다는 것을 발견했습니다.


공격자들은 공용 GitHub 계정의 HTML 원본 코드를 변경하고, 단축된 링크를 포함한 IoC 지표를 업데이트했습니다.


또한 피싱 랜딩 페이지를 수정하여 피싱 키트의 로컬이 아닌 원격 도메인에 호스팅된 PHP 스크립트를 사용했습니다.


[그림 2] 원격 도메인으로부터의 PHP 스크립트 로딩

<이미지 출처: https://www.proofpoint.com/us/threat-insight/post/threat-actors-abuse-github-service-host-variety-phishing-kits>


앞서 언급했듯, 합법적인 도메인을 활용하여 랜딩 페이지를 호스팅하는 피싱 캠페인은 공격자들이 사용하는 인기 있는 방법입니다. 


도메인 기반 화이트리스트를 우회해 타깃에 접근하기 용이하기 때문입니다.


지난 2월, Akamai SIRT의 멤버인 Larry Cashdollar는 모바일 브라우저에서 구글 번역기로 위장하여, 구글 및 페이스북 크리덴셜 탈취를 시도하는 피싱 캠페인을 발견했습니다.


공격자들은 마이크로소프트의 Azure Blob Storage를 악용했습니다.


Windows.net 하위 도메인의 유효한 마이크로소프트 SSL 인증서를 사용하였으며 오피스 365, 애져(Azure) AD(Active Directory), 아웃룩, 마이크로소프트 계정 크리덴셜을 탈취하는 악성 랜딩 페이지가 합법적으로 보이게끔 속였습니다.


일반적으로 오픈 소스 및 기타 공공 소프트웨어 개발 저장소로 사용되는 마이크로소프트의 GitHub 서비스 무료 계정은 똑같이 취약합니다.


GitHub 측은 2019년 4월 19일 악성 행위에 연루된 모든 계정을 중지시켰으며, 시스템 남용에 매우 적극적으로 대처했다고 밝혔습니다.


보안 담당자들은 $gitub_username.github.io 맞춤 도메인(CNAME 레코드를 이용한 도메인)에대한 잠재적인 악의적 행위를 인지하고 있어야 합니다.




출처:

https://www.bleepingcomputer.com/news/security/github-service-abused-by-attackers-to-host-phishing-kits/

https://www.proofpoint.com/us/threat-insight/post/threat-actors-abuse-github-service-host-variety-phishing-kits

관련글 더보기

댓글 영역