이번 포스트는 2019년 야놀자 데이터 유출 덤프를 언더그라운드포럼에 업로드한 지노스틱플레이어즈(GnosticPlayers)에 대한 DATA VIPER의 분석 보고서를 요약 및 정리한 포스트 입니다.

**원문 보고서, The Dark Overlord: An Investigation Into A Cyber Terrorist Organization

지노스틱플레이어즈(GnosticPlayers)는 누구일까?

2019 년 2 월경 GnosticPlayers라는 이름은 Dream Market (다크 웹 마켓 플레이스)에서 시작되었습니다. 해킹 된 데이터베이스 중 일부에는 MyFitnessPal, MyHeritage, EyeEm, 8fit 및 WhitePages가 포함되어 있었습니다. 당시 GnosticPlayers 그룹은 Nclay와 DDB의 두 핵심 멤버로 구성되어 있었습니다. Nclay는 해커 였고 DDB는 판매자였습니다.

첫 번째 데이터베이스가 Dream Market에서 판매되기 시작한 직후 Troy Hunt의 HaveIBeenPwned 웹 사이트 에서 여러 데이터베이스가 공유되었습니다.

아래의 이미지는 GnosticPlayers 그룹의 멤버들에 대한 정보 입니다. (이렇게나 많다니...;;;)

By DATA VIPER

아래는 GnosticPlayers 그룹으로부터 해킹당한 타겟에 대한 정보입니다. (1년동안 정말 열일한 그룹)

Known / Confirmed GnosticPlayers Hacks

The following is a list of hacks confirmed to be attributed to GnosticPlayers.

  • 500px
  • 8fit
  • 8Tracks
  • Animoto
  • Armor Games
  • Artsy
  • BookMate
  • Bukalapak
  • Chegg
  • ClassPass
  • CoffeeMeetsBagel
  • Coinmama
  • Coubic
  • DataCamp
  • Dubsmash
  • Estante Virtual
  • Evite
  • EyeEm
  • Fotolog
  • GameSalad
  • Ge.tt
  • GfyCat
  • HauteLook
  • Houzz
  • iCracked
  • Jobandtalent
  • Legendas.tv
  • LifeBear
  • Mindjolt
  • MyFitnessPal
  • MyHeritage
  • Onebip
  • OMGPop
  • PetFlow
  • Pizap
  • PromoFarma
  • Quora
  • Roadtrippers
  • Roll20
  • ShareThis
  • Storenvy
  • StoryBird
  • StreetEasy
  • Stronghold Kingdoms
  • Taringa
  • Wanelo
  • Whitepages
  • Wirecard
  • Xigo
  • Yanolja, 야놀자(!)
  • YouNow
  • YouthManual
  • Zynga

GnosticPlayers 그룹은 어떠한 방식 또는 기술을 통해 위와 같은 타겟들을 전부 해킹할 수 있었던 걸까요.. 아무튼 대단..

이 블로그에서는 GnosticPlayers 그룹이 공격 당시에 사용한 기법에 대해서도 다루고 있습니다. 내용은 다음과 같습니다.

Gnostic’s Hacking Technique

The hack was simple but extremely effective: the group would target developers using credential stuffing attacks to log into their GitHub accounts. While there, they would pillage the code repositories, looking for AWS keys and similar credentials that were checked into code repositories.

해킹은 간단하지만 매우 효과적이었습니다. GnosticPlayers 그룹은 크리덴셜 스터핑 공격을 사용하여 GitHub 계정에 로그인하는 개발자를 타겟으로 삼았습니다. 그곳에서 그들은 레포지토리에 있는 정보를 탈취하여 해당 레포지토리에 체크인 된 AWS 키와 유사한 크리덴셜 정보를 찾습니다. 

Once logged into the the GitHub accounts, the group also used a method to bypass GitHub’s IP-based access restrictions. Specific details of this attack, including Gnostic’s own person account of these details, will be available in my book.

GitHub 계정에 로그인 한 후, GnosticPlayers 그룹은 GitHub의 IP 기반 액세스 제한을 우회하는 방법도 사용했습니다.

이 외에 다른 내용은 NSFW와의 연관성과 다른 TA에 대한 내용을 다루었는데, 이번 포스트에서는 GnosticPlayers 그룹에 대한 내용만 요약하여 정리하였습니다.

 

반응형
저작자표시

'Projects > Deepweb' 카테고리의 다른 글

[Projects] 다크웹/딥웹 관련 사건 정리 - 05. cit0day.in 분석 (1) .co.kr  (0) 2020.12.07
[Projects] 다크웹/딥웹 관련 사건 정리 - 04. 이랜드그룹을 공격한 클롭 랜섬웨어(Clop Ransomware) 자료 정리  (0) 2020.12.07
[Projects] 언더그라운드 포럼 내, 위협 행위자(Threat Actor) - 01. 샤이니헌터스(Shinyhunters) & 메가디마러스(Megadimarus) & 알려지지 않은 위협 행위자(Unknown Threat Actor)  (0) 2020.09.10
[Projects] 언더그라운드 포럼 소개 - 01. Nulled / Raidforums ( 널드 / 레이드포럼 )  (0) 2020.06.20
[Projects] 다크웹/딥웹 관련 사건 정리 - 03. 한국 다크웹 사건  (0) 2020.04.05

+ Recent posts

티스토리툴바