공격자들이 ClickFix 공격을 위해 700개의 Ghost CMS 사이트를 탈취함

SQL Injection 기반 API Key 탈취 및 ClickFix 고도화 공격

recast78382026년 5월 27일5분intermediate

AI 요약

Context

Ghost CMS Content API 내 SQL Injection 취약점(CVE-2026-26980)으로 인한 데이터베이스 임의 읽기 가능성 발생. 인증되지 않은 외부 공격자가 Admin API Key를 획득하여 콘텐츠 무단 수정 및 악성 스크립트 주입이 가능한 구조적 결함 노출.

Technical Solution

SQL Injection을 통한 Admin API Key 탈취로 관리자 권한을 획득하는 초기 침투 경로 설계
2단계 Loader 구조를 통해 외부 도메인에서 Main Payload를 동적으로 로드하여 공격 유연성 확보
Adspect 기반 Cloaking 스크립트를 적용하여 보안 탐지 장비와 실제 사용자의 트래픽을 분리 전송
iframe 기반 가짜 CAPTCHA 페이지를 통한 Social Engineering으로 Base64 인코딩 명령 실행 유도
PowerShell 및 rundll32.exe를 활용한 DLL 및 Electron 기반 악성 바이너리 설치로 지속성 유지
C2 서버와 30초 주기의 비콘 통신을 통해 원격 명령 제어 및 페이로드 업데이트 수행

실천 포인트

1. API Key 및 Secret 정보를 DB에 저장 시 암호화 및 최소 권한 원칙(Least Privilege) 적용 여부 검토

2. Content API 등 외부 노출 엔드포인트에 대해 Prepared Statement 적용 및 입력값 검증 로직 강화

3. 정기적인 API Key 로테이션 정책 수립 및 유출 감지 모니터링 체계 구축

4. WAF 및 IDS/IPS를 통한 SQL Injection 및 이상 트래픽 패턴 탐지 룰 업데이트

태그

#C2 Server #Cloaking #ClickFix #SQL Injection #API Key Leakage

원문 읽기