요약
- 파키스탄 여권 정보 확인 사이트(tracking.dgip.gov[.]pk, 파키스탄 이민국의 서브 도메인)에 스캔박스 정찰 프레임워크가 삽입되어, 홈페이지 방문자들을 공격.
- 공격 툴 : 스캔박스 정찰 프레임워크
*지난 주 동일한 툴을 이용해 카이로 방글라데시 대사관이 공격을 받은 바 있음
- 최초 감염 시기: 2019년 3월 2일
- 감염 경로 : Trustwave의 분석에 따르면 스캔박스 자바스크립트 코드가 원격으로 설치가 됨.
- 피해 현황 : 스캔박스를 이용해 웹사이트 방문객의 모든 장치 정보와 방문 당시 사용 키 입력값(keystroke), 77개의 소프트웨어 및 장비 설치 유무를 스캔(보안 프로그램, 가상화, 압축파일 등)
- 스캔박스 정찰 프레임워크(Scanbox Framework)
º 최초 등장 : 2014년
º 사용 그룹 : APT그룹이 주로 사용
º 사용 이력 : 2017년 Stone Panda, 2018년 LuckyMouse 그룹이 사용
º 악용 방법 : 워터링 홀(Watering Hole)공격에 주로 사용
*워터링 홀 공격 : 방문할 가능성이 높거나 주로 사용되는 웹사이트를 감염시킨 후 잠복하면서
피해자 컴퓨터에 악성 코드를 추가로 설치하는 공격.
º 공격 시나리오 : 스캔박스 정찰 프레임워크에 감염된 웹사이트에 접근 시 방문객의 IP주소, 디바이스 운영체제, 플러그인, 유저 에이전트
등의 정보를 획득. 획득한 정보를 이용해 구성도 높은 공격 실시.
- 영향성 : 메이저 보안 장비에서 스캔박스 감염 사실이 탐지가 되지 않음. 현재 해당 사이트가 언제 스캔박스에 감염되었는지 확인되지 않았으나
70개의 사이트의 방문자 정보와 방문자 1/3의 로그인 정보가 스캔박스를 통해 탈취된 것을 확인.
- 대응 여부 : 감염 여부를 관리자에게 통지했으나, 아무런 조치가 취해지지 않음. 사이트는 현재 감염 상태.
- 파키스탄 대상 공격 : 최근 파키스탄 유명 자동차관련 회사 PakWheel(중고/신차 및 자동차 부품 판매)이 공격을 당해 70만명의 계정 정보가
탈취 됨. (https://www.pakwheels.com)
참고자료
Trustwave 분석 : https://www.trustwave.com/en-us/resources/blogs/spiderlabs-blog/attacker-tracking-users-seeking-pakistani-passport/
출처 : https://www.hackread.com/pakistani-govts-passport-application-tracking-site-hacked-scanbox-framework/
'Incident Report' 카테고리의 다른 글
[2019.06.10] BlueKeep에 이은 GoldBrute RDP 서버 무차별 대입공격 성행 (0) | 2019.06.10 |
---|---|
[2017] ShadowPad 공격 (0) | 2019.03.26 |
[2019.03.12] 유명 소프트웨어 회사 Citrix 데이터 유출 (0) | 2019.03.21 |
[2019.03.07] Google Chrome 제로데이 원격 코드 실행 취약점 (CVE-2019-5786) (0) | 2019.03.21 |
[2019.03.05] 북한, 미국과 정상회담 당시도 주요 기관 공격 (0) | 2019.03.21 |