위협 행위자들은 손상된 웹사이트의 스왑 파일을 사용하여 지속적인 신용카드 스키머를 숨기고 지불 정보를 수집하는 것으로 관찰되었습니다.
Sucuri는 Magento 전자상거래 사이트의 결제 페이지에서 이러한 교묘한 기술을 발견했고, 이를 통해 맬웨어가 여러 차례의 정리 시도에도 살아남을 수 있었다고 밝혔습니다.
스키머는 웹사이트의 신용카드 양식에 모든 데이터를 캡처하고 해당 세부 정보를 2024년 2월에 등록된 공격자가 제어하는 ”amazon-analytic(.)com”이라는 도메인으로 빼내도록 설계되었습니다.
보안 연구원인 맷 모로우는 “브랜드 이름 사용에 주목하세요. 도메인 이름에서 인기 있는 제품과 서비스를 활용하는 이러한 전술은 악의적인 행위자들이 감지를 피하기 위해 자주 사용합니다.”라고 말했습니다.
이것은 위협 행위자가 사용하는 수많은 방어 회피 방법 중 하나일 뿐이며, 여기에는 스왑 파일(“bootstrap.php-swapme”)을 사용하여 악성 코드를 로드하는 동시에 원본 파일(“bootstrap.php”)은 손상되지 않고 맬웨어가 없는 상태로 유지하는 방법도 포함됩니다.
“SSH를 통해 파일을 직접 편집하는 경우 편집기가 충돌하는 경우 서버가 임시 ‘스왑’ 버전을 생성하여 전체 내용이 손실되는 것을 방지합니다.” Morrow가 설명했습니다.
“공격자가 서버에 맬웨어를 유지하고 일반적인 탐지 방법을 회피하기 위해 스왑 파일을 활용하고 있다는 것이 분명해졌습니다.”
현재로선 이 사건에서 어떻게 최초로 접근했는지는 확실하지 않지만, SSH나 다른 터미널 세션을 사용했을 것으로 추정됩니다.
WordPress 사이트의 손상된 관리자 사용자 계정을 이용해 합법적인 Wordfence 플러그인처럼 위장한 악성 플러그인을 설치하고 있다는 사실이 밝혀지면서, 이 사실이 알려졌습니다. 이 플러그인은 사기성 관리자 사용자를 생성하고 Wordfence를 비활성화하는 기능을 갖추고 있어 모든 것이 예상대로 작동한다는 잘못된 인상을 줍니다.
보안 연구원 벤 마틴은 “악성 플러그인이 처음에 웹사이트에 설치되려면 웹사이트가 이미 손상되어야 했지만 이 맬웨어는 확실히 재감염 벡터로 작용할 수 있다”고 말했습니다.
“악성 코드는 URL에 ‘Wordfence’라는 단어가 포함된 WordPress 관리자 인터페이스 페이지에서만 작동합니다(Wordfence 플러그인 구성 페이지).”
사이트 소유자는 FTP, sFTP, SSH와 같은 일반적인 프로토콜을 신뢰할 수 있는 IP 주소에만 사용하고, 콘텐츠 관리 시스템과 플러그인을 최신 상태로 유지하는 것이 좋습니다.
또한 사용자는 2단계 인증(2FA)을 활성화하고 방화벽을 사용하여 봇을 차단하고 DISALLOW_FILE_EDIT 및 DISALLOW_FILE_MODS와 같은 추가 wp-config.php 보안 구현을 시행하는 것이 좋습니다.
