클라우드 비디오 플랫폼, 부동산 사이트 100곳 스키머 삽입에 악용돼

Attackers abused cloud video platform to inject an e-skimmer into 100 Real Estate sites

 

공격자들이 알려지지 않은 클라우드 비디오 플랫폼을 통해 동일한 모회사에 속한 부동산 웹사이트 100곳 이상에 전자 스키머를 설치한 것으로 나타났습니다.

 

공격자는 전자 스키밍 공격 시 방문자가 제품을 구매하는 동안 결제 데이터를 훔치기 위해 온라인 스토어에 악성 JavaScript 코드를 삽입합니다. Palo Alto Networks의 연구원은 공격자가 클라우드 비디오 플랫폼을 악용하여 비디오에 숨겨진 전자 스키머를 삽입한 공급망 공격을 문서화했습니다.

 

해당 플랫폼에서 비디오를 임포트한 모든 웹 사이트는 전자 스키머에 해킹되었습니다.

 

Palo Alto Networks에서 발표한 분석에서는 아래와 같이 설명했습니다.

 

"Palo Alto Networks의 사전 모니터링 및 탐지 서비스를 통해 동일한 스키머 공격에 해킹된 부동산 사이트 100곳 이상을 발견했습니다.”

 

“발견한 사이트를 분석한 결과 해킹된 모든 사이트가 한 모회사에 속해 있었습니다. 해킹된 모든 사이트는 클라우드 비디오 플랫폼에서 동일한 비디오를 악성 스크립트와 함께 불러오고 있습니다."

 

연구원들은 클라우드 비디오 플랫폼과 부동산 회사에서 전자 스키머를 제거하는 작업을 도왔습니다.

 

연구원들은 사용자가 클라우드 비디오 플랫폼에서 JavaScript 코드를 추가하여 커스텀이 가능한 플레이어를 만들 수 있다는 것을 발견했습니다. JavaScript 사용자 정의는 플랫폼에 업로드되는 파일에 포함될 수 있습니다.

 

“이 사례에서 사용자는 악성 콘텐츠를 포함시키기 위해 수정 가능한 스크립트를 업로드했습니다. 공격자는 스키머 코드를 첨부해 호스팅된 위치에서 정적 스크립트를 변경한 것으로 추정됩니다. 이후 플레이어 업데이트 시 비디오 플랫폼은 악성 파일을 다시 수집하여 취약한 플레이어와 함께 제공했습니다."

 

공격자는 전자 스키머 코드를 첨부하여 호스팅된 위치에서 정적 스크립트를 수정할 수 있었습니다. 플레이어 업데이트를 업데이트하여 비디오 플랫폼은 손상된 파일을 제공하고 사용자 지정된 플레이어와 함께 제공했습니다.

 

전문가들은 해당 소프트웨어 스키머가 고도로 다형성이고 파악하기 어려우며 작성자가 해당 소프트웨어를 지속적으로 업데이트한다고 밝혔습니다.

 

 

<이미지 출처 : https://unit42.paloaltonetworks.com/web-skimmer-video-distribution/>

 

 

공격자는 전자 스키머를 통해 이름, 이메일, 전화번호, 신용 카드 데이터를 포함한 민감 결제 정보를 수집할 수 있습니다.

 

도난당한 데이터는 https://cdn-imgcloud[.]com/img 서버에 업로드되었습니다.

 

연구원들은 해당 공격에 대한 침해 지표(IoC)를 공개했습니다.

 

“해당 스키머는 고도로 다형성적이며 파악하기 어렵고 지속적으로 진화합니다. 이러한 유형의 스키머가 클라우드 배포 플랫폼과 결합할 경우 미치는 영향은 매우 클 수 있습니다.”

 

 

 

 

출처:

https://securityaffairs.co/wordpress/126305/malware/cloud-video-platform-served-e-skimmer.html

https://unit42.paloaltonetworks.com/web-skimmer-video-distribution/

https://github.com/pan-unit42/iocs/blob/master/Skimmer_IOC.txt (IOC)