MUT-1244, 390,000개의 WordPress 계정 침해

MUT-1244로 추적된 정교한 위협 행위자가 1년에 걸친 대규모 캠페인을 통해 390,000개 이상의 WordPress 자격 증명을 훔쳤습니다. 이 공격은 트로이 목마에 감염된 WordPress 자격 증명 검사기를 사용하여 악의적인 행위자와 합법적인 연구원 모두를 표적으로 삼았습니다. Datadog Security Labs의 연구원들이 침해 사실을 발견했습니다.

SSH 개인 키와 AWS 액세스 키도 손상된 것으로 나타났습니다. 피해자에는 레드티머, 침투 테스터, 보안 연구원, 악의적인 행위자가 포함되었습니다. 2단계 페이로드는 수십 개의 트로이 목마에 감염된 GitHub 저장소를 통해 전달되었습니다.

이러한 저장소는 알려진 보안 취약점에 대한 악의적인 개념 증명(PoC) 익스플로잇을 제공했습니다. 또한 피싱 캠페인은 대상을 속여 CPU 마이크로코드 업데이트로 위장한 가짜 커널 업그레이드를 설치하도록 했습니다. 페이로드는 다양한 방법을 사용하여 GitHub 저장소를 통해 배포되었습니다.

여기에는 백도어 구성 컴파일 파일, 악성 PDF 파일, Python 드롭퍼 및 프로젝트 종속성의 악성 npm 패키지가 포함되었습니다. 이 캠페인은 “hpc20235/yawp” GitHub 프로젝트와 관련된 1년간의 공급망 공격과 유사합니다.

Mut-1244, 사이버 보안 커뮤니티 침해

해당 프로젝트는 데이터 도난 및 암호화폐 채굴을 위해 “0xengine/xmlrpc” npm 패키지를 사용했습니다. 공격에 참여한 악성코드에는 암호화폐 채굴기와 백도어가 포함됐다. 백도어를 통해 MUT-1244는 개인 SSH 키, AWS 자격 증명, 환경 변수 및 키 디렉터리 콘텐츠를 수집하고 추출할 수 있었습니다.

2단계 페이로드는 Dropbox 및 file.io와 같은 파일 공유 서비스로 데이터를 유출하는 것을 허용했습니다. 해당 플랫폼에 대해 하드코딩된 자격 증명이 페이로드 내에서 발견되었습니다. “MUT-1244는 390,000개가 넘는 WordPress 자격 증명에 액세스할 수 있었습니다.

이러한 자격 증명이 Dropbox로 유출되기 전에는 불법적으로 획득한 공격자의 손에 있었을 가능성이 높습니다.”라고 Datadog 연구원은 설명했습니다. 공격자는 사이버 보안 커뮤니티 내의 신뢰를 악용했습니다. 그들은 화이트 햇 해커와 블랙 햇 해커 모두에 속한 수십 대의 시스템을 손상시켰습니다.

도난당한 데이터에는 SSH 키, AWS 액세스 토큰 및 명령 기록이 포함되었습니다. Datadog Security Labs는 수백 개의 시스템이 여전히 손상되어 있으며 진행 중인 캠페인의 일환으로 새로운 감염이 여전히 발생하고 있다고 추정합니다.