ClickCease 6개월 만에 39,000개 이상의 사이트를 감염시킨 워드프레스 Sign1 악성코드

인기 뉴스레터 구독하기

4,500명 이상의 Linux 및 오픈 소스 전문가와 함께하세요!

한 달에 두 번. 스팸이 없습니다.

6개월 만에 39,000개 이상의 사이트를 감염시킨 워드프레스 Sign1 악성코드

by 와자핫 라자

2024년 4월 1일 TuxCare 전문가 팀

최근 언론 보도 에 따르면 지난 6개월 동안 활동한 악성 멀웨어 캠페인이 발견되었습니다. 보도에 따르면 워드프레스 Sign1 멀웨어가 39,000개 이상의 사이트를 감염시키고 손상시켰다고 합니다. 현재 이 멀웨어 캠페인은 악성 자바스크립트 삽입을 통해 사용자를 사기 사이트로 리디렉션하는 것으로 추정됩니다.

이 글에서는 워드프레스 서명1 멀웨어가 어떻게 워드프레스 Sign1 멀웨어 가 어떻게 발견되었는지, 공격자들이 공격을 시작하는 데 사용하는 시퀀스 위협 등을 살펴봅니다. 시작하겠습니다!

 

워드프레스 Sign1 멀웨어: 초기 발견  


수쿠리 웹사이트 보안 및 보호 플랫폼의 연구원들은 가장 최근에 발견된
WordPress Sign1 멀웨어. Sucuri는 온라인 위협으로부터 웹사이트를 보호하는 데 도움을 줍니다. Sucuri 사이버 보안 연구원들은 WordPress Sign1 멀웨어 를 발견했습니다. 고객사 웹사이트 중 하나에 비정상적인 팝업 광고가 나타났을 때였습니다.

연구원들은 고객의 웹사이트가 무차별 대입 공격을 통해 침해당했다고 밝혔습니다. 보고서에는 다음과 같이 언급되어 있습니다. 워드프레스 Sign1 멀웨어 가 39,000개 이상의 웹사이트를 감염시키고 손상시켰다고 합니다. 이 사이버 보안 회사는 침해된 사이트에 대한 세부 정보를 공유하지 않았다는 점을 언급할 필요가 있습니다.


공격 시퀀스 WordPress Sign1 멀웨어 캠페인 


자세한 내용을 살펴보기 전에
워드프레스 멀웨어 Sign1 캠페인 공격이 어떻게 수행되는지 자세히 알아보기 전에 최근 공격의 물결 2,500개 이상의 온라인 리소스에 영향을 미쳤습니다. 위협 행위자들은 2024년 1월에 이 단계를 시작했습니다.

그 이후로 영향을 받은 온라인 리소스의 수를 고려할 때 공격 순서를 파악하는 것이 가장 중요합니다. 이를 통해 조직은 실현 가능한 사이버 보안 전략을 개발하여 보안 태세를 개선할 수 있습니다.


액세스 권한 얻기 


해커가 액세스 권한을 얻는 것에 관한 한
무차별 대입 공격 을 사용하여 수쿠리의 고객사 중 한 곳의 웹사이트를 침해했습니다. 다른 공격에 대한 자세한 내용은 아직 공개되지 않았습니다.

그러나 최근 워드프레스 사이트에 대한 다른 공격은 이 캠페인과 관련이 없다는 점을 언급할 필요가 있습니다. 워드프레스 멀웨어 Sign1 캠페인 은 주로 두 가지 전술을 사용하여 액세스 권한을 획득했습니다. 무차별 대입 공격과 플러그인 취약점 악용이 바로 그것입니다.

이러한 수법은 악의적인 의도를 수행하는 데 사용될 수 있는 무단 액세스를 얻는 데 성공한 것으로 입증되었습니다. 이러한 점을 감안할 때, 유사한 수법이 워드프레스 Sign1 멀웨어 공격에도 유사한 수법이 사용되었을 수 있습니다.


공격 수행 


위협 행위자가 액세스 권한을 획득한 후에는 악성 자바스크립트 코드를 삽입하는 두 가지 방법을 사용하여 공격을 시작하는 것으로 알려져 있습니다. 해커는 코드를 삽입하기 위해 사용자 지정 HTML 위젯 또는 더 간단한 사용자 지정 CSS 및 JS 플러그인을 설치합니다. 또한 연구원들은 다음과 같은 사실도 발견했습니다.
워드프레스 Sign1 멀웨어 가 차단을 회피할 수 있다는 사실도 발견했습니다.

10분 간격으로 새로운 URL을 생성하는 시간 기반 무작위화를 사용하여 이를 수행합니다. 이 도메인은 공격에 사용되기 직전에 등록되었기 때문에 차단 목록에 포함되어 있지 않습니다. 보고서에 따르면 이러한 URL의 목적은 방문자의 브라우저에서 실행할 수 있는 악성 코드를 더 많이 확보하는 것입니다. 

그리고 워드프레스 Sign1 멀웨어 는 탐지를 회피할 수 있어 강력한 전략으로만 대응할 수 있는 주목할 만한 위협입니다. 이 악성 스크립트는 무작위 변수 이름과 함께 XOR 인코딩을 사용하여 자신의 신원과 유포 경로를 숨길 수 있습니다. 이 악성 코드는 주요 플랫폼에서 유입되는 방문자를 표적으로 삼는 데 사용됩니다.

이러한 플랫폼의 일반적인 예로는 페이스북, 인스타그램, 구글, 야후 등이 있습니다. 또한 멀웨어는 브라우저에 쿠키를 생성하여 악성 팝업이 방문자당 한 번만 표시되도록 합니다. 이러한 공격 전술은 웹사이트 소유자에 대한 보고서가 생성될 가능성을 낮춥니다.

그런 다음 스크립트는 방문자를 사기 사이트로 리디렉션하여 브라우저 알림을 활성화하도록 속입니다. 일단 활성화되면 이러한 알림은 표적이 된 사용자와 디바이스에 악성 및 원치 않는 광고를 계속 전송합니다.


Sign1에 대한 워드프레스 보안 모범 사례 


보호 및 완화 조치에 관한 한, 두 Sucuri
연구원들은 이 멀웨어가 지난 6개월 동안 계속 진화하고 있다고 경고했습니다. 보고서에 따르면 다음과 관련된 감염이 추가로 발생했다고 합니다. 워드프레스 Sign1 멀웨어 와 관련된 감염이 새로운 버전이 나올 때마다 급증한다고 주장했습니다.

버전이 업데이트될 때마다 멀웨어는 더욱 탄력적으로 변하고 은신 능력이 향상됩니다. 현재까지 감염된 사이트 수를 고려할 때 이러한 진화가 점점 더 우려스러운 상황으로 발전하고 있습니다. 워드프레스 Sign1 멀웨어 로부터 보호하는 것이 필수적입니다.

다음과 같은 경우 워드프레스 사이트를 Sign1 공격으로부터 보호하려면로부터 워드프레스 사이트를 보호하려면 길고 강력한 비밀번호를 사용하는 것이 좋습니다. 플러그인을 최신 버전으로 업데이트하고 불필요한 애드온을 제거하면 공격 표면을 줄이고 침해 가능성을 낮출 수 있으므로 이를 권장합니다.


결론 


그리고
워드프레스 Sign1 멀웨어는 6개월 동안 활동하는 것으로 알려져 있으며 39,000개 이상의 웹사이트를 감염시키고 손상시켰습니다. 이 중 2,500개의 웹사이트가 2024년 1월 이후 감염되었다는 점을 언급할 필요가 있습니다. 공격의 일부로 위협 행위자는 악성 코드를 활용하여 사용자를 사기 사이트로 리디렉션합니다.

공격의 심각성과 멀웨어의 우려할 만한 진화를 고려할 때 사전 예방적 사이버 보안 조치 을 사용하는 것은 보안 태세를 개선하고 공격 노출을 줄이는 데 도움이 될 수 있으므로 필수적입니다.

이 글의 출처에는 다음 기사가 포함됩니다. 해커 뉴스BleepingComputer.

 

요약
6개월 만에 39,000개 이상의 사이트를 감염시킨 워드프레스 Sign1 악성코드
기사 이름
6개월 만에 39,000개 이상의 사이트를 감염시킨 워드프레스 Sign1 악성코드
설명
워드프레스 Sign1 멀웨어가 39,000개 이상의 사이트를 감염시키고 손상시켰습니다. 이 공격과 그 기원에 대해 자세히 알아보세요. 최신 정보를 받아 보호하세요!
작성자
게시자 이름
TuxCare
게시자 로고

Kernel 재부팅, 시스템 다운타임 또는 예정된 유지 보수 기간 없이 취약성 패치를 자동화하고 싶으신가요?

TuxCare 게스트 작가 되기

메일

Linux 환경을 이해하도록
도와주세요!

오픈소스 현황에 대한 설문조사를 완료하면 최고 상금 500달러를 포함한 여러 가지 상품 중 하나를 받을 수 있습니다!

엔터프라이즈 Linux의 미래를 만들기 위해서는 여러분의 전문 지식이 필요합니다!