상세 컨텐츠
본문
Hacked WordPress sites force visitors to DDoS Ukrainian targets
해커들이 WordPress 웹사이트를 해킹해 방문자의 브라우저를 통해 우크라이나 웹사이트에 DDoS 공격을 수행하는 악성 스크립트를 삽입하고 있는 것으로 나타났습니다.
MalwareHunterTeam은 해당 스크립트를 사용하도록 해킹된 WordPress 사이트를 발견했다고 밝혔습니다. 이 스크립트는 웹사이트 10곳에 DDoS 공격을 수행하도록 설정되어 있었습니다.
우크라이나 정부 기관, 싱크 탱크, 우크라이나의 국제 군단 모집 사이트, 금융 사이트, 기타 친 우크라이나 사이트가 여기에 포함됩니다.
타깃 웹사이트 전체 목록은 아래와 같습니다.
JavaScript가 로드되면, 방문자의 브라우저가 각 사이트에 대해 한 번에 1,000개 이상의 동시 연결 없이 HTTP GET 요청을 수행하도록 합니다.
이 DDoS 공격은 사용자가 알지 못하는 상태에서 백그라운드에서 발생합니다. 유일한 징후는 사용자 브라우저의 속도가 느려지는 것입니다.
방문자는 자신의 브라우저가 공격에 악용된다는 사실을 인지하지 못한 채 스크립트가 DDoS 공격을 수행할 수 있습니다.
타깃 웹 사이트에 대한 각 요청은 임의의 쿼리 문자열을 사용하기 때문에 요청은 Cloudflare, Akamai와 같은 캐싱 서비스를 통해 전달되지 않고 공격을 받는 서버에서 직접 수신됩니다.
예를 들어, DDoS 스크립트는 웹 서버의 액세스 로그에 아래와 같은 요청을 생성합니다.
"GET /?17.650025158868488 HTTP/1.1"
"GET /?932.8529889504794 HTTP/1.1"
"GET /?71.59119445542395 HTTP/1.1"
BleepingComputer는 이 DDoS 스크립트에 감염된 적은 수의 사이트를 찾을 수 있었습니다. 하지만 개발자인 Andrii Savchenko는 WordPress 사이트 수백 곳이 이러한 공격을 수행하기 위해 해킹되었다고 밝혔습니다.
Savchenko는 트위터를 통해 아래와 같이 밝혔습니다.
"이러한 웹사이트 약 100곳을 발견했습니다. 이들은 모두 WP 취약점을 악용합니다. 불행히도, 대다수의 사이트 운영자는 이에 반응하지 않고 있습니다.”
BleepingComputer가 다른 감염된 사이트를 찾기 위해 스크립트를 조사한 결과, 러시아 웹사이트에 대한 공격을 수행하는 데 사용되는 친 우크라이나 사이트인 https://stop-russian-desinformation.near.page에서도 동일한 스크립트를 사용하고 있음을 발견했습니다.
사용자가 사이트를 방문 시 사용자의 브라우저를 통해 67개의 러시아 웹사이트에 대한 DDoS 공격을 수행합니다.
이 사이트는 방문자의 브라우저를 통해 러시아 웹사이트에 대한 DDoS 공격을 수행할 것이라고 명시하고 있지만, 해킹된 WordPress 사이트는 웹사이트 소유자나 방문자가 알 수 없도록 스크립트를 사용합니다.
출처:
https://twitter.com/malwrhunterteam/status/1508517334239043584
'국내외 보안동향' 카테고리의 다른 글
| 우크라이나의 모바일 및 인터넷 서비스 제공 업체인 Ukrtelecom, 대규모 공격 받아 (0) | 2022.03.30 |
|---|---|
| Mars Stealer 악성코드, 구글의 OpenOffice 광고 통해 푸시돼 (0) | 2022.03.30 |
| 'Purple Fox' 해커들, 최근 공격에서 새로운 FatalRAT 변종 사용해 (0) | 2022.03.29 |
| Anonymous, 러시아 중앙 은행에서 데이터 28GB 훔친 후 공개해 (0) | 2022.03.28 |
| 구글, 활발히 악용되는 크롬 제로데이 취약점 패치용 긴급 업데이트 발표 (0) | 2022.03.28 |
댓글 영역