Python-Based Bots Exploiting PHP Servers Fuel Gambling Platform Proliferation
- 공격 개요
- PHP 기반 애플리케이션이 운영되는 웹 서버를 표적으로 한 새로운 공격 캠페인 발견
- Python 기반 봇이 수천 개의 웹 애플리케이션을 악용하여 도박 사이트를 홍보
- 공격자는 GSocket(Global Socket)이라는 오픈소스 도구를 활용하여 원격 제어 채널 구축
- GSocket은 암호화폐 채굴 악성코드(크립토재킹)와 결합하여 공격자에게 지속적인 접근 권한 제공
- 공격 방식 및 특징
- 이미 감염된 서버에 사전 설치된 웹 셸(web shell)을 활용하여 추가 공격 수행
- 대부분의 공격이 Moodle(온라인 교육 플랫폼) 운영 서버를 타겟으로 진행됨
- GSocket 지속 실행을 위해
bashrc및crontab파일을 수정하여 백도어 유지 - 공격자가 배포한 PHP 파일에는 검색 엔진 크롤러만 접근 가능하도록 설정하여 탐지 회피
- 일반 사용자가 접근하면 다른 도박 사이트로 자동 리디렉션
- 주요 도박 사이트: pktoto[.]cc (인도네시아 기반 온라인 도박 사이트)
- 연계된 악성코드 캠페인
- 전 세계 5,000개 이상의 웹사이트를 공격하는 악성코드 캠페인(WP3.XYZ) 확인
- 공격 방식
- 불법 관리자 계정 생성
- 원격 서버에서 악성 플러그인 다운로드 및 설치
- 로그인 정보 탈취 및 공격자 서버(wp3[.]xyz)로 전송
- 현재 초기 침투 경로는 불분명하지만, 워드프레스(WordPress) 플러그인 취약점이 악용되었을 가능성 큼
- 보안 권고
- 웹 애플리케이션과 플러그인 최신 업데이트 유지
- 웹 서버에서 GSocket 및 웹 셸 존재 여부 검사 및 제거
- 방화벽을 설정하여 악성 도메인(pktoto[.]cc, wp3[.]xyz) 차단
- 서버 내 비정상적인 관리자 계정 및 의심스러운 플러그인 존재 여부 확인 및 삭제
- 크론 작업(crontab)과 환경 변수 파일(bashrc) 검토하여 비정상적인 실행 항목 제거
- 결론
- PHP 기반 웹 서버 및 학습 관리 시스템(LMS)이 대규모 봇넷 공격의 주요 표적이 되고 있음
- 공격자는 웹 서버 취약점을 활용하여 GSocket과 같은 원격 제어 도구를 배포
- 워드프레스와 같은 CMS 플랫폼을 사용하는 웹사이트는 보안 업데이트를 즉시 적용하고, 의심스러운 계정과 플러그인을 정기적으로 점검해야 함
- 악성 도박 사이트로의 리디렉션 공격은 검색 엔진 최적화(SEO) 조작과 결합되어 탐지가 어렵기 때문에, 지속적인 보안 모니터링 필요
'Kant's IT > Issue on IT&Security' 카테고리의 다른 글
| 가평군청 개인정보 유출 사건 분석 (0) | 2025.02.03 |
|---|---|
| Sneaky 2FA 피싱 키트: Microsoft 365 계정의 2FA 코드 우회 공격 (0) | 2025.02.02 |
| Windows 10에서 Microsoft 365 지원 2025년 10월 종료 (0) | 2025.02.02 |
| 웹사이트 백도어: 숨겨진 보안 위협과 대응 방안 (0) | 2025.02.02 |
| 2025년 사이버 보안 트렌드: IBM의 전망 (0) | 2025.02.02 |