[2019.3.15] 파키스탄 정부 사이트 해킹

요약

- 파키스탄 여권 정보 확인 사이트(tracking.dgip.gov[.]pk, 파키스탄 이민국의 서브 도메인)에 스캔박스 정찰 프레임워크가 삽입되어, 홈페이지 방문자들을 공격.

- 공격 툴 : 스캔박스 정찰 프레임워크

*지난 주 동일한 툴을 이용해 카이로 방글라데시 대사관이 공격을 받은 바 있음

- 최초 감염 시기: 2019년 3월 2일

- 감염 경로 : Trustwave의 분석에 따르면 스캔박스 자바스크립트 코드가 원격으로 설치가 됨.

- 피해 현황 : 스캔박스를 이용해 웹사이트 방문객의 모든 장치 정보와 방문 당시 사용 키 입력값(keystroke), 77개의 소프트웨어 및 장비 설치 유무를 스캔(보안 프로그램, 가상화, 압축파일 등)

- 스캔박스 정찰 프레임워크(Scanbox Framework)

º 최초 등장 : 2014년

º 사용 그룹 : APT그룹이 주로 사용

º 사용 이력 :  2017년 Stone Panda, 2018년 LuckyMouse 그룹이 사용

º 악용 방법 : 워터링 홀(Watering Hole)공격에 주로 사용 

*워터링 홀 공격 : 방문할 가능성이 높거나 주로 사용되는 웹사이트를 감염시킨 후 잠복하면서 

                       피해자 컴퓨터에 악성 코드를 추가로 설치하는 공격. 

º 공격 시나리오 : 스캔박스 정찰 프레임워크에 감염된 웹사이트에 접근 시 방문객의 IP주소, 디바이스 운영체제, 플러그인, 유저 에이전트 

                       등의 정보를 획득. 획득한 정보를 이용해 구성도 높은 공격 실시. 

- 영향성 : 메이저 보안 장비에서 스캔박스 감염 사실이 탐지가 되지 않음. 현재 해당 사이트가 언제 스캔박스에 감염되었는지 확인되지 않았으나 

              70개의 사이트의 방문자 정보와 방문자 1/3의 로그인 정보가 스캔박스를 통해 탈취된 것을 확인.

- 대응 여부 : 감염 여부를 관리자에게 통지했으나, 아무런 조치가 취해지지 않음. 사이트는 현재 감염 상태. 

- 파키스탄 대상 공격 : 최근 파키스탄 유명 자동차관련 회사 PakWheel(중고/신차 및 자동차 부품 판매)이 공격을 당해 70만명의 계정 정보가 

                              탈취 됨. (https://www.pakwheels.com)

참고자료

Trustwave 분석 : https://www.trustwave.com/en-us/resources/blogs/spiderlabs-blog/attacker-tracking-users-seeking-pakistani-passport/

출처 : https://www.hackread.com/pakistani-govts-passport-application-tracking-site-hacked-scanbox-framework/