링크모음 링크세상
링크세상 링크모음 링크 애니 웹툰 링크 드라마 영화 링크 세상의모든링크

8Base 랜섬웨어 웹사이트의 배후는 누구입니까? – 보안에 관한 크렙스

배후 사이버범죄자들이 운영하는 피해자 명예훼손 사이트 8베이스 — 현재 가장 활동적인 랜섬웨어 그룹 중 하나인 —은 오늘 오전까지 범죄 그룹이 공개할 의도가 없었던 꽤 많은 정보를 유출했습니다. 유출된 데이터에 따르면 웹사이트의 코드 중 적어도 일부는 수도 몰도바에 거주하는 36세 프로그래머가 작성한 것으로 나타났습니다.

다크넷에 있는 8Base 랜섬웨어 그룹의 피해자 쉐이핑 웹사이트.

8Base는 무료로 제공되는 글로벌 익명 네트워크인 Tor를 통해서만 접근할 수 있는 다크넷 웹사이트를 유지 관리합니다. 이 사이트에는 수백 개의 피해자 조직과 회사가 나열되어 있으며, 모두 훔친 데이터가 게시되는 것을 막기 위해 몸값 지불을 거부한 해킹 피해자로 추정됩니다.

8Base 다크넷 사이트에는 채팅 기능도 내장되어 있는데, 이는 아마도 8Base 피해자가 강탈범과 대화하고 협상할 수 있도록 하는 것으로 추정됩니다. Laravel 웹 애플리케이션 프레임워크에서 실행되는 이 채팅 기능은 사이트에 정보를 *전송*하는 한(예: “POST” 요청을 통해) 잘 작동합니다.

그러나 동일한 채팅 서비스에서 데이터를 가져오려고 하면(예: “GET” 요청을 통해) 최근까지 웹사이트에서 매우 장황한 오류 메시지가 생성되었습니다.

8Base의 다크넷 사이트에서 데이터를 가져오려고 할 때 나타나는 자세한 오류 메시지입니다. “Git” 제목 아래의 “커밋 보기” 메시지 위로 마우스를 가져가면 생성되는 이 이미지 하단의 링크를 확인하세요.

해당 오류 페이지에는 8Base 웹사이트가 있는 Tor 숨겨진 서비스의 실제 인터넷 주소인 95.216.51이 나와 있습니다.[.]74는 DomainTools.com에 따르면 독일에 본사를 둔 거대 호스팅 기업인 Hetzner와 연결된 핀란드의 서버입니다.

하지만 그것은 흥미로운 부분이 아닙니다. 긴 오류 메시지를 아래로 스크롤하면 Jcube-group이라는 개인 Gitlab 서버에 대한 링크를 볼 수 있습니다. gitlab[.]com/jcube-group/clients/apex/8base-v2. 이 Gitlab 계정을 더 자세히 살펴보면 JCube 그룹의 공개 코드 저장소에서 사용할 수 있는 몇 가지 흥미로운 데이터 포인트를 찾을 수 있습니다.

예를 들어 약 한 달 전에 JCube 그룹의 Gitlab 저장소에 커밋된 이 “status.php” 페이지에는 “KYC”라는 용어를 여러 번 언급하는 코드가 포함되어 있습니다(예: KYC_UNVERIFIED, KYC_VERIFIED 및 KYC_PENDING).

8Base 다크넷 사이트의 FAQ에는 범죄 집단이 인터뷰에 열려 있지만 언론인은 인터뷰를 하기 전에 자신의 신원을 증명해야 한다는 내용의 “언론인과 기자를 위한 특별 제안” 섹션이 포함되어 있기 때문에 이것이 궁금합니다. 8base FAQ에서는 이 심사 프로세스를 “KYC”라고 부르는데, 이는 일반적으로 “Know Your Customer”를 의미합니다.

8Base FAQ에는 “우리는 언론인의 작업을 매우 존중하며 정보를 최우선으로 생각합니다.”라고 나와 있습니다. “우리는 뉴스 웹사이트와 텔레그램 채널에 공식적으로 게시되기 몇 시간 또는 심지어 며칠 전에 정보를 공유하는 것을 포함하는 언론인을 위한 특별 프로그램을 가지고 있습니다. 신청하려면 KYC 절차를 거쳐야 합니다. 언론인과 기자들은 질문이 있으면 PR 텔레그램 채널을 통해 우리에게 연락할 수 있습니다.”

8Base FAQ(왼쪽) 및 Kolev Gitlab 계정의 KYC 코드(오른쪽)

8Base 다크넷 사이트에는 공개적으로 접근 가능한 “관리자” 로그인 페이지도 있는데, 여기에는 공항으로 보이는 곳에 주차된 상업용 여객기의 이미지가 포함되어 있습니다. 비행기 사진 옆에는 “Welcome to 8Base. 8Base 대시보드에 관리자로 로그인하세요.”

8Base 랜섬웨어 그룹의 다크넷 웹사이트 로그인 페이지.

8Base 관리 페이지를 마우스 오른쪽 버튼으로 클릭하고 “소스 보기”를 선택하면 페이지의 HTML 코드가 생성됩니다. 해당 코드는 약 3주 전에 작성되어 JCube 그룹의 Gitlab 저장소에 커밋된 “login.blade.php” 페이지와 사실상 동일합니다.

JCube 그룹의 코드 책임자는 몰도바 키시나우 출신의 36세 개발자인 것으로 보인다. 안드레이 콜레프. Kolev 씨의 LinkedIn 페이지에는 그가 JCube Group의 풀스택 개발자이며 현재 일자리를 찾고 있다고 나와 있습니다. 제이큐브그룹 홈페이지[.]com에는 몰도바 비즈니스 기록에서 Mr. Kolev와 연결되어 있음이 확인된 주소와 전화번호가 나와 있습니다.

Mr. Kolev(@andrewkolev)의 트위터 계정에 있는 게시물은 모두 러시아어로 작성되었으며,pluginspro를 포함하여 현재는 없어진 여러 온라인 비즈니스를 참조합니다.[.]루.

LinkedIn을 통해 의견을 요청한 Kolev 씨는 8Base 다크넷 사이트가 자신의 개인 JCube 그룹 Gitlab 저장소의 “클라이언트” 디렉터리에서 코드를 가져오는 이유와 8Base 이름이 어떻게 포함되었는지 전혀 모른다고 말했습니다.

“나 [don’t have] 단서가 없습니다. 내 저장소에 해당 프로젝트가 없습니다.”라고 Kolev는 설명했습니다. “그들 [aren’t] 내 고객. 사실 우리는 현재 우리만의 프로젝트만 갖고 있습니다.”

Kolev 씨는 현재 프로젝트의 스크린샷을 공유했지만 그 후 매우 빠르게 삭제했습니다. 그러나 KrebsOnSecurity는 이미지가 제거되기 전에 이미지의 복사본을 캡처했습니다.

Kolev 씨가 빠르게 삭제한 현재 프로젝트의 스크린샷.

Kolev 씨에게 연락한 이유를 설명하고 이 연결을 찾는 과정을 안내한 지 몇 분 만에 8Base 웹 사이트가 변경되었으며 JCube 그룹 개인 Gitlab 저장소에 연결되는 오류 메시지가 더 이상 나타나지 않았습니다. 대신 위에서 설명한 것과 동일한 “GET” 방법을 시도하면 8Base 웹 사이트에서 “405 Method Not Allowed” 오류 페이지가 반환됩니다.

Kolev 씨는 자신의 개인 Gitlab 저장소를 참조하는 8Base 사이트의 현재 제거된 오류 페이지에 대해 아무것도 몰랐다고 주장했으며 개인 정보가 포함되어 있기 때문에 LinkedIn 채팅에서 스크린샷을 삭제했다고 말했습니다.

랜섬웨어 그룹은 개발자가 누구인지, 새로 고용된 코드가 어떻게 사용되는지 정확히 공개하지 않고 특정 프로젝트를 위해 원격으로 개발자를 고용하는 것으로 알려져 있으며, Mr. Kolev의 고객 중 한 명이 단지 8Base의 앞잡이일 가능성도 있습니다. 그러나 언론인과 연락을 취하게 되어 기쁘다는 8Base의 진술에도 불구하고 KrebsOnSecurity는 여전히 Telegram 채널을 통해 그룹의 답변을 기다리고 있습니다.

누출된 8Base 웹사이트에 대한 정보는 익명을 요청한 독자에 의해 제공되었습니다. 그 독자, 합법적인 보안 전문가이자 연구자입니다. @htmalgae 트위터에서는 8Base 웹사이트를 개발한 사람이 실수로 “개발 모드”에 방치했을 가능성이 높다고 말했습니다. 이로 인해 사이트가 오류 메시지로 너무 장황하게 되었습니다.

@htmalgae는 “8Base가 개발 모드가 아닌 프로덕션 모드에서 앱을 실행했다면 Tor 익명화는 결코 불가능했을 것입니다.”라고 말했습니다.

최근 블로그 게시물 VM웨어 8Base 랜섬웨어 그룹은 2023년 여름에 활동이 크게 급증했음에도 불구하고 비교적 알려지지 않은 상태로 남아 있는 “강력한 공격자”라고 불렀습니다.

VMware 연구원들은 “8Base는 2022년 3월부터 활동해 온 랜섬웨어 그룹으로, 2023년 6월에 활동이 크게 급증했습니다.”라고 밝혔습니다. “그들의 유출 사이트는 스스로를 ‘간단한 펜 테스터’라고 설명하면서 자주 묻는 질문(FAQ) 및 규칙 섹션을 통해 피해자 세부 정보를 제공하고 피해자에게 연락할 수 있는 다양한 방법을 제공했습니다. ”

VMware에 따르면 8Base의 커뮤니케이션 스타일에서 특히 흥미로운 점은 또 다른 알려진 사이버 범죄 그룹인 RansomHouse와 매우 친숙한 언어를 사용한다는 점입니다.

VMware 연구원들은 “이 그룹은 피해자에게 몸값을 지불하도록 강요하기 위해 ‘이름과 수치심’ 기술과 결합된 암호화를 활용합니다.”라고 썼습니다. “8Base는 다양한 산업 분야에 걸쳐 최근 피해자들과 타협하는 기회주의적인 패턴을 가지고 있습니다. 많은 양의 타협에도 불구하고 이러한 사건의 배후에 있는 신원, 방법론 및 근본적인 동기에 관한 정보는 여전히 미스터리로 남아 있습니다.”

Leave A Reply

Your email address will not be published.