워터링 홀 어택

Watering hole attack
이 기사는 컴퓨터 해킹 기술에 관한 것이다.알코올 음료를 얻을 수 있는 장소는 을 참조하십시오.기타 용도는 물뿌리기(동음이의)를 참조하십시오.

워터링 홀(watering hole)은 공격자가 조직이 자주 사용하는 웹 사이트를 추측하거나 관찰해 이들 중 하나 이상을 악성코드로 감염시키는 컴퓨터 공격 전략이다.결국 대상 그룹의 일부 구성원이 감염될 것이다.[1][2][3]특정 정보를 찾는 해킹은 특정 IP 주소에서 오는 사용자만 공격할 수 있다.이것은 또한 해킹을 탐지하고 연구하기 어렵게 만든다.[4]물웅덩이 근처에서 먹이를 공격할 기회를 기다리는 자연계의 포식자들로부터 유래된 이름이다.[5]

방어 기술

웹 사이트는 브라우저나 다른 소프트웨어의 제로데이 취약성을 통해 감염되는 경우가 많다.[4]알려진 취약성에 대한 방어는 최신 소프트웨어 패치를 적용하여 사이트를 감염시킬 수 있는 취약성을 제거하는 것이다.이것은 모든 소프트웨어가 최신 버전을 실행 중인지 확인하기 위해 사용자의 도움을 받는다.기업이 웹사이트와 네트워크를 모니터링한 뒤 악성 콘텐츠가 검출될 경우 트래픽을 차단하는 것도 추가 방어다.[6]

2012년 미국 대외 관계 위원회

2012년 12월 미국외교협회 홈페이지가 마이크로소프트의 인터넷 익스플로러의 제로데이 취약성을 통해 악성코드에 감염된 것으로 밝혀졌다.이 공격에서 악성코드는 영어, 중국어, 일본어, 한국어, 러시아어로 설정된 Internet Explorer를 사용하는 사용자들에게만 배포되었다.[7]

2013 Havex ICS 소프트웨어 공급망 공격

해브스는 2013년 발견됐으며 지난 10년간 개발된 5가지 알려진 산업통제시스템(ICS) 맞춤형 악성코드 중 하나이다.에너지 넘치는 은 에너지, 항공, 제약, 국방, 석유화학 분야를 대상으로 한 광범위한 스파이 활동에 해넥스를 활용하기 시작했다.이 캠페인은 주로 미국과 유럽의 희생자들을 대상으로 했다.[8]Havex는 피해자 시스템에 접근하기 위해 스피어 피싱 캠페인 외에도 ICS 공급업체 소프트웨어에 대한 공급망과 물웅덩이 공격을 악용했다.[9]

2013년 미국 노동부

2013년 초, 공격자들은 사용자 정보에 대한 정보를 수집하기 위해 미국 노동부 웹사이트를 이용했다.이 공격은 특히 핵 관련 콘텐츠가 있는 페이지를 방문한 사용자를 대상으로 했다.[10]

2016년 폴란드 은행

2016년 말 폴란드의 한 은행이 이 기관 소속 컴퓨터에서 악성코드를 발견했다.이 악성코드의 출처는 폴란드 금융감독 당국의 웹 서버인 것으로 추정된다.[11]이번 해킹의 결과로 금전적 손실에 대한 보고는 없었다.[11]

2017년 몬트리올에 본부를 둔 국제민간항공기구 공격

2016~2017년 몬트리올에서 알 수 없는 실체가 데이터 유출을 일으킨 조직 차원의 물뿌리기 공격이 있었다.[12]

2017년 CCleaner 공격

2017년 8월부터 9월까지 벤더 다운로드 서버가 배포한 CCleaner 설치 바이너리에는 악성코드가 포함되었다.CCleaner는 Windows 컴퓨터에서 잠재적으로 원하지 않는 파일을 치료하는 데 사용되는 인기 도구로, 보안에 민감한 사용자가 널리 사용한다.분산된 설치 관리자 이진 파일은 개발자의 인증서로 서명되어 공격자가 개발 또는 빌드 환경을 손상시켰을 가능성이 있으며 이를 사용하여 멀웨어를 삽입했다.[13][14]

2017년 노트페타 공격

2017년 6월 우크라이나에서 유래된 것으로 추정되는 NotPetya(ExPetr) 악성코드가 우크라이나 정부 웹사이트를 훼손했다.공격 벡터는 그것을 다운로드하는 사이트의 사용자들로부터 나왔다.악성코드는 피해자의 하드 드라이브 내용을 지워버린다.[15]

2018년 중국 국가 수준 공격

2017년 말부터 2018년 3월까지 중국에서 '아이언타이거', '에미사리판다', 'APT 27', '위협그룹-3390'으로 알려진 그룹 '럭키마우스'의 국가 차원의 물뿌리개 공격이 있었다.[16]

2019년 성수 캠페인

2019년에는 '성수 캠페인'이라는 물웅덩이 공격이 아시아 종교 및 자선 단체를 겨냥했다.[17]피해자들은 공격을 촉발한 어도비 플래시를 업데이트하라는 메시지를 받았다.그것은 빠른 진화 때문에 창의적이고 뚜렷했다.[18]동기는 여전히 불분명하다.[18]전문가들은 이 캠페인에 관련된 IoCs(타협 지표)의 긴 목록과 함께 상세한 기술 분석을 제공했지만, 어느 것도 고급 지속적 위협으로 추적할 수 없었다.[19]

참조

  1. ^ Gragido, Will (20 July 2012). "Lions at the Watering Hole – The "VOHO" Affair". The RSA Blog. EMC Corporation.
  2. ^ Haaster, Jelle Van; Gevers, Rickey; Sprengers, Martijn (2016-06-13). Cyber Guerilla. Syngress. p. 57. ISBN 9780128052846.
  3. ^ Miller, Joseph B. (2014). Internet Technologies and Information Services, 2nd Edition. ABC-CLIO. p. 123. ISBN 9781610698863.
  4. ^ a b 시만텍.인터넷 보안 위협 보고서, 2016년 4월, 페이지 38 https://www.symantec.com/content/dam/symantec/docs/reports/istr-21-2016-en.pdf
  5. ^ Rouse, Margaret. "What is watering hole attack?". SearchSecurity. Retrieved 2017-04-03.
  6. ^ Grimes, Roger A. "Watch out for waterhole attacks -- hackers' latest stealth weapon". InfoWorld. Retrieved 2017-04-03.
  7. ^ "Council on Foreign Relations Website Hit by Watering Hole Attack, IE Zero-Day Exploit". Threatpost. 2012-12-29. Retrieved 2017-04-02.
  8. ^ "ICS Focused Malware". ics-cert.us-cert.gov. Retrieved 2020-12-09.
  9. ^ "Full Disclosure of Havex Trojans". Netresec. 27 October 2014. Retrieved 2020-12-09.
  10. ^ "Department of Labor Watering Hole Attack Confirmed to be 0-Day with Possible Advanced Reconnaissance Capabilities". blogs@Cisco - Cisco Blogs. 4 May 2013. Retrieved 2017-04-03.
  11. ^ a b "Attackers target dozens of global banks with new malware". Symantec Security Response. Retrieved 2017-04-02.
  12. ^ https://www.cbc.ca/news/canada/montreal/icao-patient-zero-cyberattack-whistleblower-1.5223883
  13. ^ "CCleanup: A Vast Number of Machines at Risk". blogs@Cisco - Cisco Blogs. Retrieved 2017-09-19.
  14. ^ "Security Notification for CCleaner v5.33.6162 and CCleaner Cloud v1.07.3191 for 32-bit Windows users". blogs@Piriform - Piriform Blogs. Retrieved 2017-09-19.
  15. ^ "Researchers Find BlackEnergy APT Links in ExPetr Code".
  16. ^ "Chinese Hackers Carried Out Country-Level Watering Hole Attack".
  17. ^ "Kaspersky uncovers a creative water hole attack discovered in the wild". Kaspersky. 26 May 2021.
  18. ^ a b "Holy water: ongoing targeted water-holing attack in Asia". securelist.com. Retrieved 2020-08-05.
  19. ^ "Holy water: ongoing targeted water-holing attack in Asia". securelist.com. Retrieved 2022-02-03.