포스팅 내용

국내외 보안동향

D-Link와 Linksys 라우터, 사용자를 코로나바이러스 관련 악성 코드 설치 페이지로 이동시켜

D-Link and Linksys routers hacked to point users to coronavirus-themed malware


해커들이 사용자들을 악성코드를 유포하는 코로나 바이러스 관련 사이트로 이동시키기 위해 거의 한 주 동안 라우터에 침투하여 DNS 설정을 바꿔온 것으로 확인되었습니다. 


BitDefender와 기술 지원 포럼 BleepingComputer는 이 공격이 현재 D-Link와 Linksys 라우터를 노리고 있다고 밝혔습니다.


비트디펜더에 따르면 해커는 타깃 라우터의 관리자 패스워드를 알아내기 위해 브루트포싱 공격을 실행 중인 것으로 나타났습니다. 이들이 패스워드를 알아내어 입장 하면, 해커는 라우터의 디폴트 DNS 서버 설정을 변경하여 그들의 서버를 향하도록 지정합니다.


즉 하이잭된 라우터에 연결된 사용자의 모든 DNS 쿼리는 해커의 DNS 서버를 거치게 되어 공격자는 사용자가 연결할 사이트를 완전히 제어할 수 있는 권한을 얻게 됩니다.


보고서에 따르면, 사용자가 특정 도메인 목록에 접근하려 시도할 경우 해커는 이들을 코로나바이러스(COVID-19) 정보 앱을 설치하도록 요구하는 사이트로 이동시킵니다.


Bitdefender와 BleepingComputer은 이 앱이 Oski 악성코드의 한 버전을 설치한다고 밝혔습니다. 


Oski는 최근 러시아어 다크 웹 포럼에서 판매된 인포 스틸러 악성코드로, 이 악성코드의 주요 기능은 브라우저로부터 계정 크리덴셜을 훔치고 가상 화폐 계정을 하이잭하기 위해 가상 화폐 파일을 훔치는 것입니다.


Bitdefender에 따르면, 사용자는 아래 도메인 중 하나에 접근하려 시도할 경우 악성 코로나 바이러스 관련 사이트로 이동되는 것으로 나타났습니다.



aws.amazon[.]com

goo[.]gl

bit[.]ly

washington[.]edu

imageshack[.]us

ufl[.]edu

disney[.]com

cox[.]net

xhamster[.]com

pubads.g.doubleclick[.]net

tidd[.]ly

redditblog[.]com

fiddler2[.]com

winimage[.]com



해커가 사용하는 악성 DNS 서버는 109[.]234[.]35[.]230와 94[.]103[.]82[.]249입니다.


현재 D-Link나 Linksys 라우터를 사용 중일 경우 관리자 패널의 DNS 설정 부분에서 이 두 주소가 설정되어 있는지 확인하는 것이 좋으며, 설정이 변경되었을 때에는 이 DNS 서버 IP 주소를 제거하고 라우터의 관리자 패널 패스워드를 변경해야 합니다.


이 캠페인은 3월 18일 처음 시작되었으며 현재도 진행 중입니다. D-Link와 Linksys 사용자들은 코로나 바이러스 관련 앱을 설치 요청에 대해 각별히 주의해야 합니다. 현재 사이버 범죄자들과 정부의 지원을 받는 해커 그룹이 흔히 사용하는 악성코드 설치용 미끼이기 때문입니다.





출처 : 

https://www.zdnet.com/article/d-link-and-linksys-routers-hacked-to-point-users-to-coronavirus-themed-malware/

https://www.bleepingcomputer.com/news/security/hackers-hijack-routers-dns-to-spread-malicious-covid-19-apps/

https://labs.bitdefender.com/2020/03/new-router-dns-hijacking-attacks-abuse-bitbucket-to-host-infostealer/


티스토리 방명록 작성
name password homepage