아시아 TLD를 대상으로 하는 NGINX 하이재킹 캠페인: 위협, 전술 및 함의

Source: Dev.to

NGINX를 노린 웹 트래픽 하이재킹 캠페인 탐색

끊임없이 진화하는 웹 보안 환경에서, 특히 Baota(BT)로 관리되는 NGINX 설치를 목표로 하는 새로운 캠페인이 등장했습니다. 이 작전은 악성 쉘 스크립트를 활용해 NGINX에 악성 구성을 주입하고, 들어오는 요청을 공격자가 제어하는 서버로 캡처·리다이렉트합니다. 이는 아시아 TLD와 그 너머까지 영향을 미칠 수 있는 정교한 웹 트래픽 하이재킹 시도입니다.

공격의 핵심

캠페인은 쉘 스크립트를 사용해 NGINX 설정 파일을 수정합니다. 주입된 지시문은 다음을 목표로 합니다:

• 인바운드 HTTP 요청을 캡처합니다.
• 트래픽을 공격자 제어 서버로 리다이렉트합니다.
• 데이터 유출 또는 추가 악성 활동을 촉진합니다.

공격이 집중되는 곳

공격자는 다음을 중점적으로 노립니다:

• .in, .id, .pe, .bd 등 아시아 최상위 도메인.
• 중국 호스팅 인프라.
• 정부·교육 도메인(.gov, .edu).

이러한 대상은 사이트의 민감성 때문에 잠재적 영향을 크게 확대합니다.

그들이 사용하는 도구

여러 맞춤형 스크립트가 침투 과정을 자동화합니다:

# zx.sh
# 공격의 후속 단계 실행을 조율합니다.

# bt.sh
# Baota 관리 패널을 목표로 하여 악성 규칙으로 NGINX 구성을 덮어씁니다.

# 4zdh.sh & zdh.sh
# 일반적인 NGINX 위치를 열거하고 새 설정 파일 생성 시 오류를 최소화합니다.

# ok.sh
# 활성 하이재킹 규칙에 대한 보고서를 생성해 캠페인 범위를 평가합니다.

미스터리

위협 행위자의 정체는 아직 밝혀지지 않았습니다. 그러나 이 캠페인은 CVE‑2025‑55182와 같은 취약점을 악용해 초기 침투 foothold를 확보하는 것으로 보입니다.

GreyNoise 공개

GreyNoise 데이터는 React2Shell 악용 시도와 자주 연관된 두 IP 주소를 강조합니다:

• 193.142.147[.]209
• 87.121.84[.]24

이 호스트들은 하이재킹 활동의 핫스팟으로 간주됩니다.

결론: 행동 촉구

이 캠페인은 웹 보안에 대한 지속적인 경계가 얼마나 중요한지를 보여줍니다:

• 알려진 취약점을 신속히 패치하십시오(예: CVE‑2025‑55182).
• NGINX 설정을 모니터링해 무단 변경을 감지하십시오.
• 네트워크 수준 방어를 구현해 의심스러운 트래픽을 탐지·차단하십시오.

신흥 전술에 대한 정보를 지속적으로 파악하고, 견고한 보안 위생을 유지하는 것이 전 세계 디지털 인프라를 보호하는 필수 단계입니다.