💌 어렵게 취업했더니 회사가 해커 집단이라면?

10월 4주차 해킹짹짹 뉴스레터 💌

안녕하세요! 😃 10월도 이제 지나가네요. 😂

저번 주에 BE.LETTER에서 에디터. 민님은 사회공학 방법으로 해킹을 당한 적이 있으셨다고 해요.

이번 주에는 기술적인 내용은 없지만 여러 사회공학 방법에 대해 소개하는 해킹 알려줄게를 준비했습니다.

그리고 해커의 TMI에는 컴퓨터공학과를 졸업하시고 관제, 모의 해킹을 지나 지금은 보안담당자를 하고 계시는 유튜버 로그띵님과 인터뷰한 내용을 담았어요. 기대해주세요! 😆

주간뉴스

지난 주에는 어떤 일들이 있었을까? 😏

쿠키를 훔쳐 유튜브 크리에이터 계정을 빼앗는 악성코드 🍪

구글은 유튜브 크리에이터가 쿠키를 훔쳐 계정을 가로채는 악성코드 피싱 공격의 표적이 되었다고 밝혔습니다. 이 기술은 오랫동안 존재했지만, 다시 조심해야 할 이유는 다요소 인증(multi-factor authentication)이 널리 사용되기 때문에 해커가 공격하기 어려워져 사회 공학적 방법에 집중하기 때문이라고 해요. 😓

해커는 사회공학을 사용해 광고 제안으로 위장한 피싱 메일로 유튜브 크리에이터를 감염시키고 그들의 자격 증명과 쿠키를 훔쳐 pass the cookie 공격으로 계정을 가로챕니다. Pass the cookie 공격은 브라우저에 저장된 세션 쿠키를 사용하여 사용자 계정에 액세스할 수 있게 하는 세션 하이재킹 기술이며 그 세션은 인증이 끝난 것으로 다요소 인증이 우회됩니다.

이후에 유튜브 계정은 나중에 유명 기술 경영진이나 암호화폐 거래소 회사를 사칭하기 위해 다크웹에서 구독자 수에 따라 3달러에서 4000달러 사이에 판매된다고 해요. 다요소 인증이 계정의 보안성을 강화하는 것에 효과적인 방법인 것은 맞지만 해킹을 절대 불가능하게 한다는 것은 착각이었네요. 💦

랜섬웨어 공격을 위해 가짜 회사를 설립해 사람을 끌어들이는 해커들 🏢

FIN7 사이버 범죄 조직은 'Bastion Secure'라는 가상의 사이버 보안 회사를 만들었습니다. 그 이유는 바로 랜섬웨어 계획에 앞서 침투 테스트를 빙자하여 소프트웨어 엔지니어를 모집하기 위함이었어요. 🙁

Bastion Secure의 웹 사이트에는 다른 합법적인 보안회사에서 수집한 정보를 포함해 겉보기에는 정상적인 회사처럼 보이며 인기 있는 구인 사이트에 C++, PHP, Python 프로그래머, 시스템 관리자 및 리버스 엔지니어 등 채용을 홍보했습니다.

FIN7은 신용 카드 번호를 수집하도록 설계된 랜섬웨어로 POS(Point-of-Sale) 시스템을 감염시키는 공격을 수행한 적이 있는데, 채용 과정에 과제를 위해 제공하는 도구는 이전에 POS 시스템을 감염시키고 랜섬웨어를 배포하는데 활용했던 Carbanak 및 Lizar/Tirion의 구성요소로 확인되었습니다.

또한, 그다음 단계에서는 소위 클라이언트 회사의 네트워크에 대한 액세스를 제공하고 지원자에게 도메인 관리자, 파일 시스템 및 백업에 대한 정보를 수집하도록 요청하는 등 랜섬웨어 공격을 수행하려는 강한 성향을 드러냈습니다. 👿

DarkSide 랜섬웨어, 비트코인 700만 달러 돈세탁 중 💸

DarkSide 랜섬웨어 그룹은 5월에 있던 미국의 Colonial Pipeline을 공격했던 그룹으로, 해당 운영자가 관리하는 지갑에 있던 약 700만 달러 상당의 107.8비트코인이 자금 세탁되는 것으로 확인됩니다. 10월 21일 오후 4시부터 여러 개의 새로운 지갑으로 이동하고 있으며 각 거래마다 적은 금액이 이체되고 있다고 해요. 💰

이러한 방식으로 자금을 이동하는 것은 추적을 방해하고 사이버 범죄자가 암호화폐를 법정화폐로 변환하는 데 도움이 되는 전형적인 자금 세탁 기술입니다. 이체는 계속되고 있으며 이미 소량의 돈이 현금화되었다고 해요.

DarkSide는 Pipeline 해킹을 마지막으로 BlackMatter로 변경되어 최소 1억 달러의 매출을 올리는 미국, 캐나다, 호주 및 영국의 기업에 속한 기업 네트워트를 공격하는 목표로 최근에 Olympus, Marketron, 심지어 풀무원도 해킹했던 그룹이에요. 🙁

by y00n_nms

하루한줄

해키보이즈팀이 연구하고 분석하는 최신 해킹 기술👇

Bypassing required reviews using GitHub Actions

[대상]

Github, Github action, Github oranization

[설명]

GitHub action을 사용해 GitHub organization의 branch protection rule을 무시하고 repo에 직접 코드를 push할 수 있는 취약점입니다.

GitHub organization은 동시에 여러 프로젝트에 걸쳐 협업할 수 있는 공유 계정입니다. 많은 유저들이 저마다 권한을 갖고 organization 멤버로 포함될 수 있습니다. Write 권한을 갖는 유저는 repo에 직접 코드를 push할 수 있는 권한이 있습니다.

하지만 해커가 Wrtie 권한을 갖는 계정을 탈취하고 repo에 직접 코드를 push하는 상황을 방지하기 위해 pull request를 생성하고 특정 멤버가 해당 pull request를 review 한뒤 merge 하는 branch protection rule을 사용할 수 있습니다. 당연히 자신이 생성한 pull request를 직접 리뷰하고 승인할 수 없습니다.

하지만 문제는 Write 권한이 있는 유저라면 GitHub action을 사용해 repo에 대해 workflow 파일을 실행할 수 있고, 다음과 같은 내용이 포함된 워크플로우와 함께 코드를 새로운 remote branch에 푸시하면 자기 자신의 pull request를 직접 승인할 수 있습니다.