WannaCry가 촉발한 5월의 폭풍우 이후, 대박이 지배하는 것 같습니다. 최근 보안 회사인 FireEye는 해커들이 WannaCry Exploit을 사용하여 호텔 Wi-Fi를 스누핑하여 투숙객의 중요한 데이터를 훔치고 있다고 발표했습니다.
경고! 해커는 이제 WannaCry Exploit을 사용하여 호텔 Wi-Fi를 스누핑하고 있습니다.
WannaCry가 촉발한 5월의 폭풍우 이후, 대박이 지배하는 것 같습니다. 그러나 그 가닥은 이제 걱정거리가 시작되는 가닥이다. 이 랜섬웨어는 NSA가 스파이 활동 및 글로벌 감시 작업에 사용하는 도구의 일부로 ‘The Shadow Brokers’ 그룹에서 게시한 ‘EternalBlue’ 익스플로잇에서 탄생한 것으로 알려져 있습니다.
호텔은 이제 러시아인의 목표입니다.
EternalBlue는 WannaCry에 생명을 불어넣었을 뿐만 아니라 훨씬 더 많은 NSA 익스플로잇을 사용하고 WannaCry보다 강력한 맬웨어인 NotPetya 및 EternalRock에도 적용되었습니다. 이번 주 보안업체 파이어아이(FireEye)는 ‘이터널블루(EternalBlue)’가 유럽의 호텔을 공격하는 데 사용되고 있으며, Wi-Fi 네트워크를 통해 투숙객의 데이터를 훔치고 있다고 밝혔습니다.
APT28 크래커의 ‘GameFish’
FireEye는 이 공격의 배후에 Fancy Bear라고도 알려진 해킹 그룹 APT28이 있다고 지적했습니다. 이 그룹은 미국 대통령 선거에서 공격을 가한 것으로 명명된 동일한 그룹입니다. APT28은 러시아 군사 정보와 관련된 크래커 범죄 그룹입니다.
‘GameFish’라고 불리는 이 새로운 악성코드는 Windows SMB(Server Message Block) 네트워크 프로토콜의 보안 취약점을 이용하여 사용자가 주의를 기울이지 않고 비교적 쉽게 전체 네트워크에 액세스할 수 있도록 합니다.
그러나 공격은 어떻게 작동합니까?
이 공격에는 몇 가지 이상한 특징이 있습니다. 공격은 전통적인 피싱 캠페인으로 시작됩니다. 이 경우 호텔 체인을 대상으로 했으며 현재까지 유럽 7개국과 중동 1개국에서 사례가 감지되었습니다.
전자 메일은 컴퓨터에서 ‘GameFish’ 설치를 수행하고 호텔의 로컬 네트워크 전체에 퍼지는 매크로가 포함된 “Hotel Reservation From.doc” 첨부 파일이 있는 문서와 함께 도착합니다. 멀웨어는 길을 열고 Wi-Fi 네트워크 제어를 담당하는 컴퓨터를 찾고, 기계를 제어한 후 이 네트워크를 통과하는 트래픽, 호텔의 관리 데이터와 Wi-Fi를 통해 여행하는 사용자의 데이터를 제어합니다. 회로망.
보안 전문가들은 이 악성코드의 목적이 네트워크 제어를 사용하여 누구의 보안 자격 증명을 추출해 정부 관련 게스트 및 중요 기업으로부터 정보를 얻는 것이라고 믿고 있습니다. 장점(또는 단점)은 2단계 인증 방식이 활성화되지 않은 사람만 접근할 수 있어 공격을 받을 경우 사용자가 앱을 통해 SMS나 알림을 받을 수 있다는 것입니다. Google 또는 Apple에서 인증 등) 접근 권한을 확인하고 공격을 중지할 수 있습니다. 이렇게 하면 데이터가 안전하게 유지됩니다.
이 공격은 지난해 일부 호텔에서 유포된 유사 악성코드인 ‘DarkHotel’과 일부 지점이 일치하지만 ‘EternalBlue’에서는 아직 언급되지 않았다. 보안 회사 FireEye는 이러한 유사성에도 불구하고 “DarkHotel” 악성 코드가 한국 대상만 공격한다는 것이 발견되었기 때문에 두 공격은 관련이 없다고 언급했습니다. 반면 GameFish는 암호를 수집하도록 설계되었지만 DarkHotel은 소프트웨어 업데이트 수정에 중점을 두었습니다.
지금까지 이 악성코드가 이미 설치된 순간부터 GameFish의 진행을 막을 수 있는 간단한 방법은 없습니다. 따라서 회사는 무료 Wi-Fi 네트워크는 가능한 피하고 이러한 네트워크를 사용하더라도 이를 통해 민감하고 중요한 콘텐츠에 액세스할 수 없도록 권장합니다.
그렇다면 이 새로운 익스플로잇에 대해 어떻게 생각하십니까? 아래의 댓글 섹션에서 귀하의 견해와 생각을 공유하기만 하면 됩니다.