상세 컨텐츠

본문 제목

Zoom 크리덴셜 수 천개, 다크웹 포럼에 공개돼

국내외 보안동향

by 알약(Alyac) 2020. 4. 13. 09:12

본문

Thousands Zoom credentials available on a Dark Web forum


연구원들이 다크웹의 언더그라운드 포럼에서 해킹된 Zoom 크리덴셜 2,300개 이상이 포함된 데이터베이스를 발견했습니다.


일부 기록에는 미팅 ID, 이름 및 호스트 키 또한 포함되어 있었습니다.


이 아카이브는 뱅킹, 컨설팅, 의료 소프트웨어 등 다양한 분야 조직의 Zoom 계정 크리덴셜을 포함하고 있었습니다.


“intSights 연구원들은 최근 딥웹과 다크웹 포럼 조사 중 한 사이버 범죄자가 Zoom 계정 및 패스워드 조합 2,300개 이상이 포함된 데이터베이스를 공개한 것을 발견했습니다.”


“이 데이터베이스를 분석한 결과 개인 계정 뿐만 아니라 은행, 컨설팅 회사, 교육 기관, 의료 기관, 소프트웨어 회사 등에 속한 계정 또한 발견되었습니다. 일부 계정은 이메일과 패스워드만 저장되어 있었으나 다른 계정은 미팅 ID, 이름, 호스트 키 또한 포함하고 있었습니다.”


연구원들은 Zoom 화상 회의 서비스를 공격하는 방법에 대해 논의한 포스팅 및 스레드 몇 개를 발견했습니다. 

가장 많이 언급되는 방식은 Zoom 체커 또는 크리덴셜 스터핑을 사용하는 것이었습니다. 체킹 서비스는 신용카드 사기꾼이 훔친 신용카드가 정상 카드인지 소액 기부를 통해 확인하는 방식입니다.


크리덴셜 스터핑 공격은 브루트포스 공격의 한 형태로 피싱 공격 및 데이터 유출 사고를 통해 훔친 로그인 크리덴셜을 활용합니다. 해당 토론의 한 참여자는 OpenBullet의 Zoom 관련 구성을 사용할 것을 제안했습니다.


OpenBullet은 자동 펜 테스팅 등을 진행할 시 데이터를 스크랩 및 파싱할 수 있는 웹 테스팅 제품입니다.





당시는 해당 Zoom 크리덴셜의 출처를 분명히 알 수 없었으나, 전문가들은 이 정보가 Zoom 회사로부터 유출된 것은 아니라 추측했습니다.


해킹된 크리덴셜은 서비스 거부 공격(DoS)을 실행하는 데도 악용될 수 있습니다. “Zoom bombing”이라고도 알려진 이 방식은 미팅에 참여해 음악이나 영상을 틀어 미팅을 방해하는 것입니다.


며칠 전 보안 회사인 Sixgill 또한 다크웹 포럼에서 해킹된 Zoom 계정 352개를 발견했다고 보도했습니다.


최근 코로나바이러스가 전 세계적으로 유행함에 따라, 화상 회의 플랫폼 사용이 급증하자 공격자들이 이를 노리고 있습니다.


최근 Cofense의 피싱 방어 센터는 치명적인 취약점을 경고하는 Cisco의 가짜 보안 권고를 미끼로 사용한 현재 진행 중인 피싱 캠페인을 발견했습니다. 이 피싱 메시지는 사용자들에게 “업데이트”할 것을 권장하지만, 실제로 이는 Cisco Webex 웹 회의 플랫폼의 크리덴셜을 훔치는 악성코드입니다.


코로나바이러스로 인해 회사 대부분이 재택근무를 해야하는 상황이기 때문에, 공격자들은 코로나바이러스 관련 내용을 미끼로 활용하고 있으니 주의가 필요한 시점입니다.





참고 : 


관련글 더보기

댓글 영역