상세 컨텐츠

본문 제목

‘Keeper’ 해킹 그룹, 온라인 스토어 570곳 해킹

국내외 보안동향

by 알약(Alyac) 2020. 7. 8. 14:30

본문

'Keeper' hacking group behind hacks at 570 online stores



<이미지 출처: https://geminiadvisory.io/keeper-magecart-group-infects-570-sites/>



“Keeper”로 알려진 해킹 그룹이 지난 3년 동안 온라인 스토어 570곳 이상을 해킹해온 것으로 나타났습니다.


이 Keeper 범죄 그룹은 온라인 스토어 백엔드에 침투해 그들의 소스코드를 변경했으며, 구매자가 결제 시 입력한 지불카드 정보를 로깅하는 악성 스크립트를 삽입했습니다.


이러한 공격 유형은 사이버 보안 커뮤니티에서 ‘웹 스키밍’ 또는 ‘E 스키밍’ 또는 ‘Magecart’ 침입(이 전략을 처음으로 사용한 해커 그룹 이름)이라 부릅니다.



2017년부터 활동해온 Keeper 범죄 그룹


Gemini Advisory는 오늘 발표된 보고서를 통해 Keeper가 최소 2017년 4월부터 활동해 왔다고 밝혔으며 현재까지도 운영되고 있다고 밝혔습니다.


또한 Keeper 그룹이 해킹된 사이트에서 지불 카드 정보를 수집하는 백엔드 서버에 동일한 제어 패널을 사용했기 때문에 그룹의 활동을 추적할 수 있었다고도 덧붙였습니다.

 


<이미지 출처: https://geminiadvisory.io/keeper-magecart-group-infects-570-sites/>



Gemini는 백엔드 패널의 지문을 채취함으로써 기존 백엔드 패널의 위치, 인프라 호스팅에 사용된 악성 URL, 해킹된 온라인 스토어 목록 등 Keeper의 모든 활동을 추적할 수 있었습니다.


Gemini는 해킹된 스토어 570곳의 약 85%가 Magento 플랫폼에서 운영되고 있다고 밝혔습니다. 스토어 대부분은 중소 규모였습니다.


Gemini는 Amazon의 Alexa 트래픽 랭킹에 따르면 매장 대부분이 소규모로 운영되고 있지만 월 방문자가 500,000 ~ 1,000,000에 달하는 사이트들 또한 공격했다고 밝혔습니다. 


Keeper 그룹이 해킹한 대규모 사이트 목록은 아래와 같습니다.

 


<이미지 출처: https://geminiadvisory.io/keeper-magecart-group-infects-570-sites/>



Keeper 백앤드 중 한 곳, 사용자 카드 데이터 유출해


Gemini Advisory 팀은 Keeper 그룹의 인프라를 조사하던 중 온라인 스토어에서 수집한 신용카드 정보를 보낸 그들의 백엔드 패널 중 하나를 보호하는 것을 잊어버렸다는 것을 발견했습니다.


Keeper는 이 백엔드에 저장된 정보 184,000건을 2018년 7월 ~ 2019년 4월 사이에 수집한 지불 카드 정보라 설명했습니다.


Gemini의 전문가들은 ZDnet에 이 그룹이 약 70만 건의 카드 정보를 수집한 것으로 추측된다고 밝혔습니다.


“다크 웹에서 CNP(Card Not Present) 카드 하나 당 평균 10달러에 판매되고 있기 때문에, 이 그룹은 카드 정보를 판매해 약 700만 달러를 벌어들였을 것으로 추측합니다.”


Keeper 그룹이 2017년 4월 이후 해킹한 사이트 570개 이상의 목록은 여기에서 확인하실 수 있습니다.





출처:

https://www.zdnet.com/article/keeper-hacking-group-behind-hacks-at-570-online-stores/

https://geminiadvisory.io/keeper-magecart-group-infects-570-sites/

관련글 더보기

댓글 영역