Hundreds of GoDaddy-hosted sites backdoored in a single day
인터넷 보안 분석가들이 GoDaddy의 Managed WordPress 서비스를 통해 호스팅되는 WordPress 웹사이트에서 백도어 감염이 급증하는 것을 발견했습니다. 해당 백도어는 모두 동일한 페이로드를 사용했습니다.
이로 인해 MediaTemple, tsoHost, 123Reg, Domain Factory, Heart Internet, Host Europe Managed WordPress와 같은 인터넷 서비스 리셀러의 운영에 영향을 미쳤습니다.
이 사고는 2022년 3월 11일 Wordfence팀이 발견했습니다. 해당 공격이 처음 발견된 후 24시간 이내에 웹사이트 298곳이 백도어에 감염되었으며, 이 중 281곳이 GoDaddy에서 호스팅되고 있었던 것으로 나타났습니다.
<백도어 감염 수>
오래된 템플릿 스패머
이 모든 사이트를 감염시킨 백도어는 검색 결과에 악성 페이지를 삽입하는 데 사용되는 스팸 링크 템플릿을 C2 서버에서 가져오기 위해 wp-config.php에 심어진 2015 구글 검색 SEO 포이즈닝 툴이었습니다.
해당 캠페인은 해킹된 웹사이트의 방문자에게 실제 콘텐츠 대신 제약 관련 스팸 템플릿을 표시했습니다.
이러한 템플릿의 목표는 피해자가 가짜 제품을 구매하도록 유도해 공격자가 돈과 지불 세부 정보를 얻는 것입니다.
또한 공격자는 위반 사항을 포함하도록 웹사이트의 내용을 변경해 사이트의 평판을 무너뜨릴 수 있지만, 현재 공격자의 목적은 아닌 것으로 보입니다.
또한 이러한 공격 유형은 브라우저가 아닌 서버에서 실행되기 때문에, 사용자가 탐지 및 차단하기가 더욱 어렵습니다. 따라서 로컬 인터넷 보안 툴은 해당 사이트에 대해 의심스러운 점을 찾아낼 수 없었습니다.
공급망 공격으로 의심돼
이 사고의 침입 벡터는 아직까지 밝혀지지 않았지만, 연구원들은 이를 공급망 공격으로 의심했습니다.
Bleeping Computer에서는 이와 관련하여 자세히 알아보고자 GoDaddy에 연락을 취했지만 아직까지 답변을 받지 못했다고 밝혔습니다.
GoDaddy는 지난 2021년 11월 120만 고객 및 Managed WordPress 서비스 리셀러에 영향을 미친 데이터 유출 사고에 대해 공개했습니다.
해당 사고에서 회사의 Managed WordPress 사이트를 프로비저닝하는 시스템에 무단 액세스 또한 발생했습니다. 따라서 두 사건이 관련이 있을 것이라 추측해 볼 수도 있습니다.
현재 웹사이트가 GoDaddy의 Managed WordPress 플랫폼에서 호스팅되고 있을 경우, wp-config.php 파일을 스캔해 백도어가 설치되었는지 여부를 확인하시기 바랍니다.
<인코딩된 주입된 백도어>
또한 Wordfence는 관리자에게 물론 백도어를 제거하는 것이 먼저지만, 스팸 검색 엔진 결과를 제거하는 것도 우선되어야 한다고 당부했습니다.
출처:
https://www.wordfence.com/blog/2022/03/increase-in-malware-sightings-on-godaddy-managed-hosting/
DirtyMoe 봇넷, 빠른 확산을 위해 새로운 웜 기능 모듈 추가해 (0) | 2022.03.18 |
---|---|
SolarWinds, WHD 인스턴스를 노린 공격에 대해 경고해 (0) | 2022.03.17 |
OpenSSL 서비스거부 취약점(CVE-2022-0778) 주의! (0) | 2022.03.16 |
Log4J를 악용하고 DNS 터널링으로 통신하는 새로운 리눅스 봇넷 발견 (0) | 2022.03.16 |
1월부터 구글 플레이 스토어에 숨어있었던 안드로이드 트로이목마 발견돼 (0) | 2022.03.16 |
댓글 영역