피드로 돌아가기
The RegisterSecurity
원문 읽기
REDCap 서버 취약점 기반 InfiniteRed 멀웨어 통한 1년 이상의 데이터 유출
PRC-linked spies hid inside medical and military networks for more than a year, snooping through Gmail and stealing data
AI 요약
Context
북미 의료 및 군사 연구 기관이 사용하는 외부 노출 REDCap 서버의 보안 취약점 노출. 초기 침입 후 관리자 권한 획득 및 내부 네트워크 진입을 통한 민감 데이터 탈취 시도 발생.
Technical Solution
- externally facing REDCap 서버 취약점 공격을 통한 초기 진입점 확보
- InfiniteRed 멀웨어를 통한 3단계 모듈형 공격 체계 구축
- REDCap 업데이트 프로세스 가로채기를 통한 지속적 원격 액세스(Persistence) 유지
- 인증 시스템 파일 내 Credential Harvester 주입을 통한 사용자 계정 탈취
- 모든 REDCap 페이지 로드 시 실행되는 Custom Hooks 기반의 Backdoor 구현
- Google Workspace의 Content Compliance Rule을 오용하여 특정 키워드 기반 이메일을 공격자 계정으로 자동 BCC 포워딩하는 데이터 엑스필트레이션 설계
실천 포인트
1. 외부 노출 관리 서버(REDCap 등)의 최신 패치 상태 및 취약점 점검
2. 업그레이드 프로세스 중 코드 주입을 방지하기 위한 무결성 검증 체계 도입
3. Cloud Workspace 내 비정상적인 Content Compliance Rule 생성 여부 정기 모니터링
4. 권한이 높은 관리자 계정에 대한 MFA 강제 적용 및 접근 로그 분석