• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

[주간 악성링크] 해킹팀 해킹사건과 어도비 플래시 취약점 外 2015.07.12

해킹팀 유출자료 어도비 플래시 취약점, 국내 악성코드 유포 악용

CK VIP 익스플로잇 킷, 랜섬웨어, 피싱사이트, 워터링 홀 기승

소프트웨어와 백신 등 최신 버전 업데이트 필수...감염 주의!

[보안뉴스 김경애] 한 주간 국내 도메인을 이용한 피싱 사이트가 발견되는가 하면 CK VIP 익스플로잇 킷 공격 징후가 탐지됐다. 또한 플래시 플레이어 버전을 확인하는 악성URL이 발견되는 등 국내 웹사이트가 또 다시 몸살을 앓고 있다. 특히, 북한으로 추정되는 해커조직들이 이번 해킹팀 해킹사건으로 알려진 어도비 플래시 플레이어 취약점을 악용, 국내 특정사이트를 대상으로 한 워터링 홀 공격을 감행한 정황도 포착됐다.  

 ▲ 지난 9일 CK VIP 익스플로잇 킷 공격이 탐지된 한 메이크업 사이트 캡처 화면


CK VIP 익스플로잇 킷 공격 활개
이탈리아 보안업체 해킹팀 자료유출 사건으로 드러난 어도비 플래시 플레이어 취약점 소식이 한 주간 전세계를 뜨겁게 달궜다. 이 때문일까. 어도비 플래시 플레이어를 악용한 CK VIP 익스플로잇 킷 공격 징후가 국내 웹사이트에서 계속 발견되고 있다.

먼저 지난 9일 xx남고 사이트에서는 웹 공격툴인 블랙홀 익스플로잇 킷(Blackhole Exploit Kit) 공격이 탐지됐다.

9일 한 메이크업 사이트와 6일 상가xxx사이트에서는 취약점을 자동으로 찾아 맞춤형 악성코드를 제작해 제공하는 CK VIP 익스플로잇 킷(CK VIP Exploit Kit) 공격이 탐지됐다. 해당 사이트에서는 exe 파일을 내려받도록 악성파일을 유포하고, 사용자 추적 코드와 사용자의 정보 및 쿠키 정보를 체크하는 악성파일도 발견됐다. 특히, 상가xxx사이트의 경우 womdps.exe 악성파일과 CVE-2012-0773, CVE-2011-3544 취약점을 이용해 악성파일을 내려받도록 유포하는 정황도 포착됐다.

 

6일 xx요리학원 사이트 역시 CK VIP Exploit Kit 공격 징후가 탐지됐다. 이를 본지에 알려온 닉네임 메가톤은 “해당 사이트에서는 CVE-2011-2140, CVE-2014-6332, CVE-2012-0773 취약점을 이용해 악성파일을 내려 받도록 유도하고 있다”며 “사용자 정보와 쿠키 정보를 확인하고, 사용자 추적 코드와 플래시 플레이어 버전을 확인하는 스크립트 등이 발견됐다”고 밝혔다.

한 보안전문가는 “해킹팀 유출 자료에서 발견된 어도비 플래시 취약점이 국내 악성코드 유포에도 사용되고 있다”며 “악성코드 제작자들이 취약점을 빨리 적용시켜 공격에 악용하고 있다”고 말했다.


국내 도메인 이용한 피싱사이트 기승

최근 들어서는 보안이 취약한 국내 도메인을 이용한 피싱사이트도 잇따라 포착됐다. 지난 9일에는 국내 IT 보안관련 업체 도메인을 이용한 알리바바 피싱 사이트가, 지난 8일에는 구글을 사칭한 피싱사이트가 발견됐다. 해당 피싱사이트에서는 사용자 쿠키 정보와 의심스러운 악성 URL 스크립트가 탐지됐다.

 ▲ 지난 9일 발견된 국내 IT 보안 관련 업체 도메인을 이용한 알리바바 피싱사이트 화면


구글 피싱사이트의 경우 지난 6월 5일, 7월 7일과 8일에도 잇따라 탐지돼 바이러스토탈을 통해 분석된 바 있다.


국내 IP를 이용한 중국사이트에서도 악성URL이 발견됐다. 이와 관련 메가톤은 “해당 악성URL은 이용자 PC를 완전히 정지 또는 감속시키거나 하드디스크 공간과 메모리를 훔칠 수 있다”며 “메모리 손상과 하드 드라이브 및 데이터를 삭제하고, 개인 정보 도용 또는 연락처를 탈취할 수 있다”고 설명했다. 또한, 해당 악성파일이 실행되면 악성파일이 복제되고, 다른 파일과 프로그램을 감염시킨다고 덧붙였다.


이어 지난 6일 국내 도메인을 이용한 중국사이트에서 JS 악성 URL과 사용자의 쿠키 체크, 의심스러운 URL(NULL), CAB 파일 서명을 확인하는 악성URL도 발견됐다. 

이처럼 피싱사이트로 악용되거나 국내외 이용자들의 피해를 야기하고 있어 국내 도메인이 사이버범죄에 악용되지 않도록 보안을 한층 강화해야 한다는 게 보안전문가들의 지적이다. 


학원, 병원 등 웹사이트에 악성URL 기승

하지만 취약한 부분을 여전히 개선하지 않고, 방치하고 있어 우려가 커지고 있다. 특히, 영세한 업체나 개인사업자, 중소기업의 웹사이트는 반복적으로 악성URL이 탐지되는 등 보안위협에 자주 노출되고 있어 개선이 시급한 상황이다.   

▲ 지난 9일 발견된 xxx무용스트릿댄스아카데미 사이트 캡처 화면


지난 9일에는 xxx무용스트릿댄스아카데미 사이트가, 8일에는 xx시장 사이트가, 6일에는 한 음식관련 사이트에서 악성URL이 탐지됐다.


xxx무용스트릿댄스아카데미 사이트의 경우 사용자 정보와 쿠키정보, 의심스러운 URL(NULL)과 사용자 추적 코드 악성파일이 탐지됐으며, 자동으로 공격자가 지정해 놓은 사이트를 방문하도록 웹사이트 소스를 수정한 정황도 포착됐다.

 

xx시장 사이트의 경우 메가톤은 “총 5개의 악성URL과 사용자 정보와 쿠키 정보를 확인하는 악성파일이 포착됐으며, 음식관련 사이트에서는 아이프레임을 이용해 홈페이지 내에 악성URL이 보이지 않도록 소스를 설계했다”고 설명했다.


지난 9일에는 xxx 부정맥 클리닉 사이트에서 악성URL이 심어진 정황이 포착됐으며, 악성URL은 바이러스토탈 사이트에서 지난 6월 15일과 29일, 7월 7일과 8일 분석된 바 있다. 이어 비전검사기, 영상장비, 공장자동화, 마이컴 개발 관련 사이트에서도 악성URL이 삽입된 정황이 발견됐다.

 

악성 중국 사이트로 연결되는 악성URL 탐지

이어 악성파일을 유포하는 중국사이트로 연결되는 악성URL도 잇따라 발견됐다. 지난 8일에는 21세기xxxx과학발전연구회 사이트와 xx시 사이트, xxx엔아이사이트, 한국xx치료협회 사이트에서 www.ro521.com*****.*** 악성URL이 삽입된 정황이 포착됐다.

 ▲지난 9일 악성링크가 발견된 21세기xxxx과학발전연구회 사이트 캡처 화면


이 가운데 21세기xxxx과학발전연구회 사이트의 경우 의심스러운 URL(NULL), 사용자 정보 체크, CAB 파일 서명을 확인하는 악성파일이 탐지됐으며, xx시 사이트에서는 사용자 정보를 체크하는 악성URL이 삽입된 정황이 발견됐다. 게다가 지난 5월 19일, 23일, 24일, 25일, 27일, 31일, 6월에도 3일, 15일, 7월은 6~8일에도 악성파일이 탐지된 바 있다.


한 보안업체 관계자는 “웹을 통한 악성프로그램 유포가 꾸준히 이어지고 있다”며 “불특정 다수를 겨냥한 드라이브 바이 다운로드와 함께 특정 대상자를 노린 워터링 홀 공격기법도 계속 발생하고 있다”고 말했다.

따라서 웹사이트 이용자들은 마이크로소프트의 운영체제와 응용프로그램, 오라클 자바와 어도비사의 플래시 플레이어 프로그램을 항시 최신 버전으로 업데이트하고, 신뢰할만한 보안제품을 설치해 수시로 점검해 보는 습관이 중요하다. 

이외에 랜섬웨어 유포 행위도 월요일부터 목요일까지 지속적으로 탐지됐다. 이에 대해 한 보안전문가는 “금주에 국내 웹사이트에서 크립토월 랜섬웨어 유포가 지속적으로 탐지됐다”며 “랜섬웨어 악성코드에 감염되지 않도록 각별히 주의해야 한다”고 강조했다.

[김경애 기자(boan3@boannews.com)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>