EvilQueen 해커조직, 온라인 쇼핑몰 노려 7,089건 신용카드 정보 탈취
https://www.boannews.com/media/view.asp?idx=129100
EvilQueen 해커조직, 온라인 쇼핑몰 노려 7,089건 신용카드 정보 탈취
국내 카드정보와 개인정보 유출을 목적으로 사이버 공격과 함께 부정결제 사기 행위를 저지르고, 이를 현금화한 새로운 위협 그룹 EvilQueen이 발견됐다. 이들은 의심을 피하기 위해 온라인 쇼핑
www.boannews.com
보안뉴스 2024.04.23 김경애 기자
- 개인정보 유출을 목적으로 사이버 공격을 시도한 EvilQueen 발견
- 2021년 6월부터 최근까지 국내 온라인 쇼핑몰 50여개에서 결제페이지로 위장한 피싱페이지를 삽입하여 사용자 정보 탈취(유출된 정보는 카드정보, 카드비밀번호, 주민등록번호, 휴대폰번호 등)
- 해킹된 쇼핑몰에서의 주요 취약점으로 관리자 페이지 2차 인증 부재, FTP 서버 노출 취약점, PHP 버전 취약점 등을 발견
- EvilQueen은 쇼핑몰에 침투하기 위해 SQL Injection 같은 웹공격을 주로 수행하였고, 피싱 관련 악성 파일을 생성하고 쇼핑몰의 정상 결제페이지를 피싱 결제 페이지로 연결되도록 변조함. 추가로 웹쉘 취약점도 발견됨.
- EvilQueen은 이외에도 가상화폐 관련 피싱사이트를 생성하거나 이전에 해킹한 사이트를 복제하여 피싱사이트를 만드는 등의 공격을 시도함
발견된 취약점 및 해결방안
관리자 페이지 2차 인증 부재
관리자 페이지는 별도의 서브 도메인이나 다른 경로에 배치하여 물리적으로 분리하는 것이 좋습니다. 또는 직접적으로 서버를 분리해서 운용해야합니다. 관리자 로그인 시 이메일 인증 또는 휴대폰 인증과 같은 2차 인증을 설정하는 것이 좋습니다.
FTP 서버 노출 취약점
FTP는 인터넷에서 파일을을 전달하는데 사용되는 파일 전송 프로토콜로, 데이터를 빠르게 송수신할 수 있습니다. 그러나 전송과정이 평문으로 진행되어 그대로 노출되기 때문에 보안에 취약합니다.
따라서 FTP 서비스를 사용하지 않는다면 비활성화 해야합니다. 또한 접근에 대한 블랙/화이트 리스트를 설정하여 접근제어를 하는 것이 좋습니다. 추가로 사용하고 있는 FTP의 서버 정보를 숨기는 것이 좋습니다.
PHP 버전 취약점
구버전의 PHP를 사용하게 되면 보안문제가 발생할 수 있습니다. PHP에서 보안 취약점이 발견되면 해당 버전의 소프트웨어를 지원하지 않기 때문에 취약점이 남아있을 수 있습니다. 이미 취약점과 공격코드가 공개된 구버전을 사용하는 것은 더 위험합니다.
따라서 최신 버전의 PHP로 업그레이드 하는 것이 좋습니다. 또는 사용 중인 PHP 버전이 최신이 아닌 경우, 보안 패치가 제공되는 경우도 있기 때문에 이럴 경우 보안패치를 적용하여 취약점을 해결할 수 있습니다.
웹쉘 취약점
공격자는 악의적인 목적으로 웹쉘 스크립트를 업로드하여 웹 서버에 접근하고 제어할 수 있는 상황을 만듭니다. 웹쉘을 통해 웹 서버의 파일 시스템에 접근하고, 시스템 명령을 실행하고, DB에 접근하여 민감정보를 탈취하거나 시스템을 조작할 수 있습니다.
따라서 사이트 내 파일 업로드 기능이 있는 경우 파일 확장자 및 크기를 제한하여 실행 가능한 파일이 업로드 되지 않도록 필터링 해야합니다. 또한 사용자 입력 값을 검증 및 제한 하는 것이 좋습니다.