보안뉴스 창간 17주년을 축하합니다!!

Home > 전체기사

활동의 기지개 펴기 시작한 메이지카트, 이전보다 훨씬 업그레이드 돼

입력 : 2023-06-07 23:40
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기
사이버 범죄 그룹의 연합인 메이지카트가 보다 발전된 모습으로 등장했다. 그러면서 벌써 9개국에서 피해들이 접수되기 시작했다. 전략도 바뀌고, 디테일이 세밀하게 추가됐다. 그래서 아직 뾰족한 대응법이 없는 상황이다.

[보안뉴스 문정후 기자] 메이지카트(Magecart)라는 거대 사이버 공격 조직이 미국과 영국을 비롯해 7개 국가의 전자상거래 사이트들을 카드 번호와 개인 식별 정보를 탈취하는 멀웨어로 감염시키기 시작했다. 메이지카트가 감염시킨 사이트에서 결제를 하게 된다면 여러 정보가 이들의 손으로 넘어가게 된다. 여기까지는 기존 메이지카트의 행위와 다를 바가 없다. 그런데 최근 메이지카트는 자신들이 감염시킨 사이트에 자신들의 정보 탈취 멀웨어를 호스팅 하기 시작했다.

[이미지 = gettyimagesbank]


보안 업체 아카마이(Akamai)의 연구원들은 새롭게 시작된 이번 메이지카트 캠페인은 이전 메이지카트가 벌였던 캠페인보다 훨씬 위험하다고 경고한다. “최소 한 달은 진행되고 있는 캠페인입니다. 수십만 명이 피해를 입은 것으로 조사되고 있는데, 특히 미국과 영국은 물론 브라질, 스페인, 에스토니아, 호주, 페루에 피해자들이 많이 나타나고 있습니다.”

확장된 공격
메이지카트는 사이버 범죄 집단들의 협력 모임이다. 주로 취약점 익스플로잇을 함으로써 온라인 결제 페이지에 카드 정보 탈취 멀웨어를 심는 공격을 실시해 왔다. 이들이 사용하는 카드 정보 탈취 멀웨어의 이름도 대부분 메이지카트였다. 수년 동안 전 세계 수십만 개의 온라인 쇼핑 사이트에 메이지카트를 심어 왔고, 족히 수천만 명의 사용자들이 카드 정보를 잃었다. 티켓마스터(TicketMaster), 영국항공 등이 대표적인 피해자다.

작년 한 해 동안 메이지카트는 9200개의 전자상거래 사이트를 침해했고, 그 중 2469개는 2022년이 끝날 때까지 문제를 해결하지 못했었다. 감염된 채로 한 해를 넘겼다는 것이다.

메이지카트는 주로 공개된 취약점을 익스플로잇 함으로써 몰래 악성 코드를 심는 식으로 활동해 왔다. 여러 취약점들을 가리지 않고 익스플로잇 하는 편이었지만 그럼에도 가장 많이 노린 건 오픈소스인 마젠토(Magenco) 플랫폼에서 발굴되는 취약점들이었다.

그런데 이들은 최근 들어 달라진 모습을 보이기 시작했다. 메이지카트라는 카드 정보 탈취 멀웨어를 심는 건 같은데, 거기에 더해 자신들이 감염시킨 페이지나 사이트를 악성 코드 배포를 위한 플랫폼으로 활용하기 시작한 것이다.

“피해자의 정상적인 웹사이트를 멀웨어 유포 플랫폼으로 악용한다는 건, 그 웹사이트가 수년 동안 쌓아온 신뢰성을 악용한다는 것이나 다름이 없습니다. 이런 사이트들은 각종 보안 서비스나 솔루션들로부터 높은 점수를 받고, 따라서 여러 보안 장치들을 무사히 통과할 가능성이 높습니다. 공격자들이 자신들만의 목적을 위해 악용한다 하더라도 사이트가 높은 신뢰도를 가지고 있어서 들키는 데 시간이 걸립니다.” 아카마이 측의 설명이다.

게다가 최근의 메이지카트 캠페인은 마젠토에만 집중하는 게 아니라 우커머스(WooCommerce), 쇼피파이(Shopify), 워드프레스(WordPress)와 같은 플랫폼의 취약점들도 익스플로잇 하는 것으로 분석됐다. 여러 모로 공격이 확대된 느낌이 강하다.

접근법과 전략은 수정됐지만 목적은 동일해
아카마이의 연구원 로만 르보브스키(Roman Lvovsky)는 “최근 메이지카트 캠페인에서 가장 눈에 띄는 건 공격자들의 인프라 설정 방식”이라고 설명한다. “캠페인을 본격적으로 시작하기 전에 메이지카트의 공격자들은 취약한 웹사이트들부터 찾아 나섭니다. 그리고 이 웹사이트들을 악성 코드의 호스트로서 활용하기 시작하죠. 한 사이트에 악성 코드를 호스팅 한 후에 카드 정보를 탈취하는 자신들의 본래 공격을 실시합니다.”

또한 이들은 각종 난독화 기술을 동원해 자신들의 악성 행위를 최대한 감추기도 하는 것으로 분석됐다. 예를 들어 자신들의 표적이 된 웹 페이지에 악성 멀웨어를 곧바로 심는 게 아니라 소용량의 자바스크립트 코드 스니펫을 먼저 심고, 그 스니펫을 통해 원래의 악성 스키머를 가져오는 식의 전략을 활용하는 식이다.

이 때 이 자바스크립트 스니펫은 구글 태그 매니저(Google Tag Manager)나 페이스북 픽셀 추적 도구(Facebook Pixel tracker) 등의 서드파티 서비스처럼 보이도록 꾸며지기도 했다. 베이스64(Base64) 암호화 알고리즘으로 자신들의 멀웨어를 호스팅한 웹사이트의 URL을 숨기기도 한다.

“게다가 멀웨어에는 같은 신용카드 정보나 같은 인물의 개인정보를 두 번 훔치는 일을 하지 않도록 하는 기능까지 탑재되어 있었습니다. 꽤나 놀라운 ‘디테일'이죠. 메이지카드 공격자들이 꽤나 스스로를 발전시키기도 하는 것으로 보입니다.”

3줄 요약
1. 메이지카트 공격자들, 최근 다시 나타나 활동하기 시작.
2. 기존처럼 카드 정보 빼앗는 멀웨어 사용하긴 하는데, 멀쩡한 사이트에 호스팅부터 해놓음.
3. 각종 난독화 기술을 동원해 자신들의 악성 행위를 감추기도 함.

[국제부 문정후 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
아스트론시큐리티 파워비즈 2023년2월23일 시작 위즈디엔에스 2018 넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지
설문조사
2023년 주요 보안 위협 가운데, 올해 말까지 가장 큰 피해를 끼칠 것으로 예상되는 위협은?
공급망 공격
다크웹 기반 랜섬웨어 조직
북한/중국/러시아 등 국가 지원 해킹그룹 활동
스마트폰을 노린 보안 위협
OT 타깃 공격
피싱 공격
기타(댓글로)