150,000 Sites Compromised by JavaScript Injection Promoting Chinese Gambling Platforms
- 공격 개요
- 15만 개 이상의 합법적인 웹사이트가 중국어 도박 플랫폼 홍보를 위한 악성 자바스크립트(JavaScript) 인젝션에 감염됨
- 해당 자바스크립트는 사용자의 브라우저에 전체 화면 오버레이를 생성하여 정상 콘텐츠 대신 도박 홍보 페이지를 표시
- 감염된 웹사이트 수는 PublicWWW 통계 기준 135,800건 이상으로 확인됨
- 주요 공격 기법
- iframe 삽입 기반 오버레이 생성
- 방문자가 웹페이지를 로드하면 CSS로 전체 화면 가림막을 만들어 도박 랜딩페이지를 노출
- 위장 도메인 및 로고 도용
- Bet365 등의 합법적 스포츠베팅 사이트 UI와 로고를 모방하여 신뢰 유도
- 자바스크립트 페이로드 도메인
- 5개 이상의 공격 도메인(e.g.
zuizhongyj[.]com)이 리디렉션 수행 - 다양한 TDS(Traffic Direction System) 노드를 통해 방문자를 도박 페이지로 우회
- 5개 이상의 공격 도메인(e.g.
- iframe 삽입 기반 오버레이 생성
- 공격자 인프라 및 확장성
- WordPress 사이트 대상의 PHP 코드 삽입 공격과 보안 플러그인 비활성화
- 관리자 권한 탈취 후 가짜 관리자 계정 생성 및 권한 남용
- 감염된 사이트를 TDS 및 C2 서버로 활용, 한 달 평균 9~10백만 페이지뷰 생성
- LosPollos, PropellerAds 등 광고 네트워크와 제휴된 트래픽 브로커를 통해 수익화 시도
- DollyWay 캠페인과의 연계
- GoDaddy는 이번 공격이 2016년부터 운영 중인 DollyWay World Domination 캠페인과 연계되어 있다고 발표
- 2025년 2월 기준, DollyWay는 전 세계 10,000개 이상 워드프레스 사이트를 감염
- VexTrio 및 LosPollos 트래픽 브로커 네트워크를 통해 공격 경로 다변화
- 2024년 11월 이후 일부 C2 서버가 폐기되었으며, 새로운 리디렉션 URL은 Telegram 채널 'trafficredirect'를 통해 획득하는 것으로 분석됨
- 보안 권고
- 워드프레스 및 모든 플러그인의 최신 보안 패치 적용
- 사이트 내 이상 자바스크립트 또는 iframe 삽입 여부 정기 검사
- 관리자 계정 변경 기록 및 비인가 사용자 생성 여부 확인
- 트래픽 리디렉션, 광고 네트워크 로딩 이슈 등 이상 행위 여부 탐지
- 보안 플러그인(예: Wordfence, Sucuri) 재점검 및 정책 강화
- 결론
- 이번 캠페인은 단순 자바스크립트 삽입을 넘어 트래픽 브로커 연계, UI 위장, 다국어 공격, 클라이언트·서버 측 동시 조작 등 고도화된 전술을 사용
- 정적 웹사이트뿐 아니라 워드프레스 기반 CMS의 플러그인 공급망 보안 취약성을 악용
- 국내 기업·기관의 웹페이지도 공공기관, 언론사, 교육기관 등 신뢰 기반이라면 피싱 오버레이 위협에 노출될 수 있으므로 정기 보안 진단 및 콘텐츠 무결성 검증 체계 마련 필요
'Kant's IT > Issue on IT&Security' 카테고리의 다른 글
| APT36, 인도 우편청 사칭 웹사이트 통해 Windows 및 Android 사용자 감염 시도 (0) | 2025.05.08 |
|---|---|
| FamousSparrow APT 그룹, 호텔 및 엔지니어링 기업 대상 커스텀 백도어 캠페인 재개 (0) | 2025.05.08 |
| Morphing Meerkat 피싱 키트: 114개 브랜드를 모방하는 신종 PhaaS 위협 분석 (0) | 2025.05.08 |
| 2025년 해커들이 악용 중인 Top 3 MS Office 익스플로잇 분석 (0) | 2025.05.08 |
| 바이브 코딩과 클로드 코드: 생성형 AI가 바꾸는 차세대 개발 패러다임 (0) | 2025.05.08 |