ESET(이셋), 수천 개의 레스토랑, 호텔에서 사용하는 POS 소프트웨어를 표적으로 하는 백도어 ModPipe 발견
ESET NEWS/NEWS 2020. 11. 17. 16:57
사이버 보안의 글로벌 리더인 ESET(이셋)의 국내 법인 이셋코리아(www.estc.co.kr)는 ModPipe라는 모듈식백도어를 발견했다고 밝히며 주의를 권고했습니다.
ModPipe 백도어는 전세계의 바, 레스토랑, 호텔 및 기타 접객 시설 수십만 곳이 사용하는 관리 소프트웨어 제품군인 ORACLE MICROS Restaurant Enterprise Series(RES) 3700 POS를 실행하는 장치에 저장된 민감한 정보에 액세스할 수 있습니다. 확인된 대상의 대부분은 미국에 있었습니다.
이 백도어의 특징은 다운로드 가능한 모듈과 기능입니다. Windows 레지스트리 값에서 암호를 해독하여 RES 3700 POS 데이터베이스 암호를 수집하도록 설계된 커스텀 알고리즘이 포함되어 있기 때문입니다. 이는 백도어의 작성자가 대상 소프트웨어에 대한 깊은 지식을 갖고 있으며 키로깅과 같은 더 간단하면서도 탐지되기 쉬운 접근 방식으로 데이터를 수집하지 않고 보다 정교한 방법을 선택했음을 보여줍니다. ModPipe의 운영자는 유출된 자격 증명을 통해 다양한 정의 및 구성, 상태 테이블 및 POS 트랜잭션에 대한 정보를 포함한 데이터베이스 콘텐츠에 액세스 할 수 있습니다.
ModPipe를 발견한 ESET 연구원 Martin Smolár은, “그러나 RES 3700 POS의 문서에 따르면 공격자는 암호화로 보호되는 신용 카드 번호 및 만료 날짜와 같은 가장 민감한 정보에 액세스 할 수 없었습니다. 암호화되지 않은 상태로 저장되어 공격자가 사용할 수있는 유일한 고객 데이터는 카드 소지자 이름뿐이었습니다. ModPipe의 가장 흥미로운 부분은 다운로드 가능한 모듈입니다. 우리는 기본 구성 요소를 처음 발견하고 분석한 2019년 말부터 그 존재를 알고 있었습니다.”라고 언급했습니다.
다운로드 가능한 모듈:
- GetMicInfo는 제조업체가 미리 정의한 두 개의 데이터베이스 사용자 이름에 연결된 암호를 포함하여 MICROS POS와 관련된 데이터를 대상으로 합니다. 이 모듈은 특별히 설계된 알고리즘을 사용하여 이러한 데이터베이스 암호를 가로채고 해독할 수 있습니다.
- ModScan 2.20은 선택한 IP 주소를 검색하여 머신에 설치된 MICROS POS 환경에 대한 추가 정보를 수집합니다.
- ProcList는 머신에서 현재 실행중인 프로세스에 대한 정보를 수집하는 것이 주요 목적입니다.
Smolár은, “ModPipe의 아키텍처, 모듈 및 기능은 작성자가 대상 RES 3700 POS 소프트웨어에 대한 광범위한 지식을 보유하고 있음을 나타냅니다. 운영자의 숙련도는 독점 소프트웨어 제품을 훔치고 리버스 엔지니어링하거나 유출된 부품 오용, 또는 지하 시장에서 코드를 구입하는 등 여러 시나리오에서 비롯될 수 있습니다.”라고 덧붙였습니다.
운영자들이 ModPipe에 접근하지 못하도록 하려면 RES 3700 POS를 사용하는 다른 비즈니스뿐만 아니라 접객업 부문의 잠재적 피해자들이 다음과 같은 조치를 취해야 합니다.
- 최신 버전의 소프트웨어를 사용하십시오.
- 업데이트된 운영 체제 및 소프트웨어를 실행하는 장치에서 사용하십시오.
- ModPipe 및 유사 위협을 탐지할 수있는 신뢰할 수 있는 다계층 보안 소프트웨어를 사용하십시오.
ModPipe에 대한 자세한 기술 정보는 WeLiveSecurity 의 블로그 게시물 “Hungry for data, ModPipe backdoor targets popular POS software used in hospitality sector,” 를 참조하십시오.
'ESET NEWS > NEWS' 카테고리의 다른 글
ESET (이셋), Turla Crutch가 EU의 한 국가에서 외교부를 공격하고 Dropbox를 사이버 스파이 활동에서 오용하고 있는 것을 발견 (0) | 2020.12.11 |
---|---|
ESET(이셋), Microsoft 365에 대한 고급 보호를 제공하는 ESET Cloud Office Security 출시 (0) | 2020.11.17 |
ESET(이셋), 베라포트를 활용한 새로운 라자루스(Lazarus) 공급망 공격 발견 (0) | 2020.11.17 |
ESET(이셋), 백만 대 이상의 컴퓨터를 감염시킨 봇넷인 Trickbot을 교란시키기 위한 글로벌 작업에 참여 (0) | 2020.10.21 |
ESET(이셋), 2011 년부터 유럽에서 정부 기밀을 훔친 APT 그룹인 XDSpy 발견 (0) | 2020.10.21 |