언론, 교육기관 등 방문자 많은 곳 노려...멀티스테이지 활용한 파밍 공격 증가
한 주간 온라인 쇼핑몰을 비롯해 교육, 여행, 공공 분야 등 사람들이 많이 방문하는 웹사이트를 타깃으로 악성링크가 삽입되거나 악성코드가 유포되고 있다.
▲ 13일 악성링크가 발견된 XX외국어대학교 XX어학원 서귀포캠퍼스 화면
언론, 교육기관 등 방문자 많은 곳 노려
13일 XX외국어대학교 XX어학원 서귀포캠퍼스 홈페이지에서는 사용자 쿠키 정보와 사용자 정보 체크, 의심스러운 스크립트가 감지됐다. 이를 본지에 제보한 메가톤(닉네임)은 “WScript.Shell 취약점으로 노트패드를 실행시킨다”며 이용자들의 주의를 당부했다.
▲ 지난 12일 악성링크가 발견된 XXX신문 사이트 화면
12일 XXX신문 사이트에서도 악성링크가 발견됐다. 해당 사이트의 경우 사용자 쿠키 정보를 확인하는 행위와 함께 의심스러운 스크립트가 탐지됐다. XXX신문은 경유지로 악용됐을 뿐만 아니라 직접 악성코드를 유포하고 있다는 메가톤은 해당 웹사이트의 허술한 보안관리를 지적했다.
또한, 제로서트 측은 “특정 웹하드 등을 타깃으로 공격하는 악성코드 유포 조직이 언론사, 광고 배너까지 공격 범위를 확대하며 악성코드를 유포하고 있다”며 “악성코드 유포 정황은 9일경 저녁 6시에서 8시경 사이에 포착됐으며, 이후에는 추적을 피하기 위해 자체적으로 공격 흔적을 삭제했다”고 분석했다. 공격자들의 경우 Space & Horizontal Tab을 이용해 난독화와 레퍼값을 체크해 직접 유포지 접근과 확인을 회피하고 있는 것으로 알려졌다.
12일에는 XX시 노인복지관 사이트에서 악성링크가 발견됐다. 해당 사이트에서는 사용자 정보와 쿠키 정보 체크, 의심스러운 URL이 감지됐으며, CAB 파일 서명 정보를 확인하는 것으로 분석됐다.
같은 날 XX브레이크 사이트에서도 악성코드 유포 행위가 포착됐다. 이에 대해 보안전문가 Auditor Lee는 “해당 사이트는 작년 말부터 지금까지 악성코드 유포에 이용당하고 있다”며 “아직까지 웹사이트에 대한 아무런 조치도 취해지지 않고 있다”고 말했다.
이와 관련 빛스캔 측은 “1월 2주차에는 사용자의 방문이 많은 언론사, 의료기관, 국내외 온라인 쇼핑몰, 파일공유(P2P) 사이트에서 악성코드 유포가 증가하고 있다”며 이용자들의 주의를 당부했다.
웹사이트 화면 변조 공격 줄줄이 포착
웹사이트 화면 변조(디페이스) 공격도 잇따라 포착됐다. 13일 온라인 쇼핑몰 XXX스토리와 XX사랑 사이트에서 화면 변조 정황이 포착됐다.
이를 본지에 제보한 제로서트 측은 “XX사랑 사이트의 경우 이미지 서버에 텍스트 파일을 업로드했다”며 “이미지 FTP 권한을 탈취한 것으로 보인다”고 분석했다.
▲ 지난 11일 웹사이트 화면이 변조된 도시가스시공 XX공영 사이트 화면
지난 11일에는 도시가스시공 XX공영 사이트에서도 화면변조 공격이 포착됐다. 이에 대해 메가톤은 “7일 악성링크가 발견됐음에도 13일이 되어서야 웹사이트가 복구됐다”며 “웹사이트 파일 백업본이 있으면 FTP로 업로드할 수 있어 바로 복구가 가능한데, 제대로 조치되지 않아 5일 가량 방치된 상태였다”고 지적했다.
링크드인 사칭한 피싱 ‘기승’
1월 첫째 주에는 피싱 사이트도 잇따라 발견됐다. 지난 12일에는 링크드인(Linked in) 사이트를 사칭한 피싱 사이트가 발견됐다. 해당 피싱 사이트의 경우 다양한 방법으로 사용자들의 접속을 유도하며 계정정보 입력을 요구하고 있다.
▲ 지난 12일 발견된 링크드인 피싱 사이트 화면
이와 관련 하우리 최상명 CERT 실장은 “계정정보를 입력하면 PHP 소스코드와 같이 절취한 계정정보 및 위치정보 등을 이메일로 해커에게 전송한다”며 “추가로 무역업자들에게 인보이스와 같은 문서로 위장해 악성코드(문서 취약점 또는 매크로 악성코드)를 전송한 다음, 추가 정보를 탈취하는 행위도 함께 수행하는 것으로 확인됐다”고 설명했다.
새로운 랜섬웨어, Ransom32
한 주간 동안에는 새로운 유형의 랜섬웨어인 Ransom32도 잇따라 포착됐다. Ransom32는 유틸리티 등으로 위장한 설치 패키지 또는 스크린세이버 파일로 유포된다. 파일 크기는 약 20MB 이상으로 대용량이다.
▲ 지난 12일 랜섬32에 감염된 화면
이에 대해 최상명 실장은 “Ransom32에 감염될 경우 크롬 브라우저 프로세스를 실행하고 해당 프로세스에 인젝션한 악성코드를 통해 시스템의 파일들을 암호화한다”며, “암호화가 끝나면 창을 띄워 비트코인으로 암호화된 파일의 몸값을 요구한다”고 설명했다. 덧붙여 그는 “백신 설정에 따라 10MB 이상의 파일은 검사하지 않는 경우가 많으므로 옵션에서 반드시 확인해 해당 악성코드들이 진단될 수 있도록 해야 한다”고 당부했다.
여행 관련 사이트, 악성코드 경유지 활용
최근 국내 웹사이트가 악성코드 유포지 및 경유지로 악용된 사례가 곳곳에서 발견되고 있다. 1월 2주에는 XX투어 사이트가 악성코드 경유지로 악용됐다.
▲1월 2째주 악성코드 유포 경유지로 악용된 XX투어 사이트 화면(자료: MDSoft)
이와 관련 MDsoft 관계자는 “공격자들은 악성코드 탐지를 회피하고 악성코드 감염을 극대화하기 위해 여러 사이트를 공격하고, 해당 사이트들을 악성코드 유포 통로로 활용하고 있다”며 “악성코드 유포 통로로 활용할 경우 하위 페이지 주소를 지속해서 변경해 탐지를 회피할 수 있을 뿐만 아니라 한 번의 코드수정을 통해 동시에 수많은 사이트에 영향을 줄 수 있어 해커 입장으로썬 최적의 유포 방식”이라고 설명했다.
또한, 기존에는 공격자들이 CK VIP 익스플로잇 킷과 OLE 취약점(CVE-2014-6332)을 결합해 공격했지만, 이제는 재작년에 등장한 스윗 오렌지(Sweet Orange) 익스플로잇 킷까지 결합하는 등 멀티 공격은 물론 사이트 방문자 PC의 브라우저 플러그인 취약점을 이용해 공격하는 것으로 알려졌다.
멀티스테이지 활용한 파밍 공격 증가
한 주간 파밍용 악성코드 유포도 줄줄이 포착됐다. 13일에는 웹호스팅 업체 XX달과 9일 XX방송 사이트에서 금감원 팝업창이 뜨는 파밍용 악성코드가 유포됐다. 특히, XX달 웹사이트의 경우 이보다 앞선 지난해 12월 29일에도 악성코드가 유포된 바 있다.
▲13일 파밍용 악성코드가 유포된 XX달 웹사이트 화면
보안전문가 Auditor Lee는 “XX달 사이트의 경우 관리자 페이지에 악성 바이너리가 삽입되어 있다”며 말했다.
1월 1주에는 종교, 의료, 골프장, 동창회 커뮤니티, 다수 여행사 사이트에서 악성코드가 유포됐는데, XXX관광주식회사, XX4989, XX첵, XX총동창회 사이트 등이 그 대표적인 예다.
또한, 1월 2주 차에는 모바일을 타깃으로 하는 공격이 출현하지 않은 반면, 멀티스테이지를 활용한 공격은 크게 증가한 것으로 나타났다.
▲1월 2주차 악성코드 유포현황(자료: 빛스캔)
이와 관련 빛스캔 측은 “스윗오렌지 킷과 CK VIP 익스플로잇 킷 등을 결합한 멀티스테이지 공격이 1~2주에 걸쳐 지속적으로 발견되고 있다”며 “최종 바이너리는 파밍 악성코드로 확인되었다. 특히, 1월 2주 차부터는 파밍 악성코드가 보안장비의 차단을 우회하기 위해 추가적으로 다운로드된 바이너리가 금융정보를 유출하는 사례도 발견됐다”고 설명했다. 또한, 카드정보(모바일), 공인인증서(PC) 정보 역시 지속적으로 탈취되고 있는 것으로 분석됐다.