반도체, 리조트, 건설, 소프트웨어 등 20여곳 침해사고 발생.
안랩의 ASEC 분석 팀은 해당 사고가 IIS 웹서버나 MS Exchange 서버 침해 사고로, 기존 알려진 유형과 비슷하지만.. 개인이 아닌 특정 해커그룹이라 추측해했다.
[해당 해커그룹의 특징]
- FRP 오픈소스 도구 사옹
- 외부에서 접근 가능한 서버를 탐색 후 공격
- 침투 후 권한상승 시도
더욱 완벽한 접근제어를 위해 주로 FRP(Fast Reverse Proxy) 도구 사용하였음.
FRP 설치 시 특정 다운로드 주소를 사용하는데, FRP가 업로드된 다운로드 서버는 국내 기업의 웹 서버였다.
공격자가 이미 장악한 상태.
다음과 같은 점에서 위험성이 크다.
- RFP 설치 시 특정 파일명 사용
- 또 다른 국내 기업의 서버를 장악하여 FRP 사용 시 필요한 중계 서버로 악용
침해가 발생한 것으로 추정되는 기업 중 반도체 기업이 존재함.
우리나라는 반도체 강국이기에 이런 공격에 대한 피해는 더더욱 크다.
해당 기사 링크 >> https://m.boannews.com/html/detail.html?tab_type=1&idx=109163
국내 기업 20여곳 해킹 피해! FRP 오픈소스 도구로 웹 서버 장악 후 공격
최근 외부에 노출된 취약한 서버를 시작으로 침투한 공격자가 내부 네트워크까지 장악하는 랜섬웨어 침해 사고가 국내 기업들을 대상으로 빈번히 발생하고 있다.
m.boannews.com
※ FRP: 직접 통신할 수 없는 인트라넷 PC에 외부에서 접근 가능하도록 중계기 통해 구성하는 오픈소스 도구.
- 공격 대상 PC 방화벽의 인바운드 규칙을 우회
- 타겟 PC에 공격자의 주소를 남기지 않는 특징 존재
더 공부하고 싶다면 해당 링크만 들어가 봐도 자세한 분석, 설명 존재함.
'일상X사랑X돈 > 보안이슈' 카테고리의 다른 글
| [보안이슈] CVE-2022-0028, 팔로알토 방화벽에서 발견. 최근 공격 트랜드는 디도스.. (0) | 2022.08.25 |
|---|---|
| [보안이슈] 사람인가 봇인가 검증하는 로직을 흉내낸 멀웨어의 등장 (0) | 2022.08.23 |
| [보안이슈] 깃허브에 솔루션 파일(.sln)로 위장한 RAT 툴 유포, 개발자들 주의할 것 (0) | 2022.08.19 |
| [보안이슈] 윈도우 정품 인증 툴 KMS Tools로 위장한 악성코드 (0) | 2022.08.18 |
| [보안이슈] 해킹 조사중이라며 경찰 신분증 내민 북한 해커 (0) | 2022.08.17 |