• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

[주간 악성링크] 해킹팀 플래시 취약점으로 악성코드 공습중 外 2015.07.29

신규 취약점 악용한 국내 웹사이트 악성코드 유포 포착

네이버 피싱·파밍 재등장, 금융정보 및 개인정보 노려
랜섬웨어 크립토락커, 6월 이후 7월에도 지속적으로 증가 추세

 

[보안뉴스 김경애] 전체적으로 악성코드 유포 건수는 줄었지만 신규 취약점 등을 이용한 악성코드 유포가 잇따라 포착되고 있다. 특히, 신규 취약점을 악용하기에 공격 파급력은 매우 위험한 수위로 이용자들의 각별한 주의가 요구된다. 또한, 금융정보와 개인정보를 노린 파밍과 피싱 공격 징후 역시 지속적으로 발견되고 있으며, 랜섬웨어 역시 여전히 기승을 부리는 것으로 조사됐다.

 ▲국내 웹사이트를 통해 해킹팀 플래시 취약점(CVE-2015-5119)으로 악성코드가 유포되는 웹서버 환경 캡처화면


신규 취약점 이용한 악성코드 유포 발견

최근 이슈가 되고 있는 해킹팀 자료에서 발견된 신규 취약점을 이용한 공격 징후가 곳곳에서 발견되고 있다.


이와 관련 29일 하우리 최상명 CERT실 실장은 “국내 웹사이트를 통해서 해킹팀 플래시 취약점(CVE-2015-5119)을 악용한 악성코드가 지난 23일과 28일 유포된 정황이 포착됐다”며 “공격자는 악성코드를 중국어로 된 웹 서버 환경에 올려놓고, 실제 유포는 한국 사이트에서 했다”고 밝혔다. 이와 관련해 벌써 60여명 이상이 다운로드 했으며, 현재는 차단한 것으로 알려졌다.


이보다 앞서 지난 15일 XX연구소 웹사이트에서도 최근 이슈가 되고 있는 취약점 CVE-2015-5119를 이용해 악성코드들 유포하는 정황이 발견됐다. XX연구소는 북한 소식을 알려주는 사이트로 알려졌다.


특히, 이번에 발견된 악성코드는 해킹팀 자료에서 유출된 CVE-2015-5119를 활용해 드라이브 바이 다운로드(Drive-by-Download) 방식으로 악성코드 다운로드를 유도하고 있다.


다운로드 된 페이로드는 기존에 국내 웹사이트에서 많이 발견되는 파밍 악성코드가 아닌 키로거 악성코드로 확인됐다는 게 빛스캔의 설명이다. 키로거 기능은 사용자가 컴퓨터에서 입력하는 키를 가로채어 특정 파일에 저장하는 역할을 하는데, 지난해 신장XXX 사이트에서 탐지된 바 있다.


이에 대해 빛스캔 측은 “신규 취약점을 활용한 공격과 함께 기존에 이용됐던 악성링크 활동이 다시 시작됐기 때문”이라고 진단했다.


파밍 악성코드 재등장과 네이버 사칭 피싱 발견

이어 파밍과 피싱 사이트도 다시 활개를 치는 양상이다. 이와 관련 지난 22일에는 포털사이트인 ‘네이버’를 위장한 피싱 사이트가 발견됐다.

 ▲지난 22일 발견된 네이버 사칭 피싱 사이트 캡처 화면


이를 본지에 제보한 닉네임 메가톤은 “공격자가 피싱 사이트에서 피해자 아이디와 패스워드를 전송하도록 설계했다”며 “사용자 정보와 사용자 쿠키정보, 사용자 트래킹 코드 체크하는 악성URL을 삽입했다”고 밝혔다.


파밍용 악성코드 역시 다시 등장하는 추세다. 이에 대해 최상명 실장은 “한동안 자취를 감췄던 파밍 악성코드가 29일 다시 활발하게 등장하고 있다”며 주의를 당부했다. 
 

빛스캔 측 역시 “금융 공격을 노린 파밍용 악성코드가 나타나고 있으며, 공인인증서 등과 같은 개인금융정보 탈취는 지속적으로 탐지되고 있다”고 밝혔다.


더욱이 기존 악성코드 유포지를 재활용하는 정황도 포착됐다. 이와 관련 지난 한 주간에는 XX소, XXX헤어, XX스타 사이트에서 악성코드가 유포된 정황이 포착됐다.


신규 ‘크립토월’ 랜섬웨어 악성코드 등장

최근 국내에서도 많이 유포되고 있는 ‘크립토월’ 랜섬웨어 악성코드 역시  드라이브 바이 다운로드 방식으로 7월 내내 국내에 유포되며 기승을 부린 것으로 나타났다.


이와 관련 최상명 실장은 “지난 6월 등장 이후 국내에 꾸준히 유포되고 있다”며, “다양한 국내 사이트에서 단기간만 유포하고 빠지는, 치고 빠지는 전략으로 암암리에 활동 중”라고 설명했다.


인터넷 사기피해, 2,340건 ‘휴대폰’ 1위

이어 2015년 2분기에 2,340건의 피해가 등록된 ‘휴대폰/주변기기’가 인터넷 사기피해 품목 1위로 조사됐다.


사기피해 정보공유 사이트 ‘더치트’에 따르면 ‘휴대폰/주변기기’가 가장 많은 피해가 발생한 물품으로 집계됐으며, 다음으로는 ‘티켓/상품권’, ‘유아동/출산’ 물품 순이었다.


특히, 여름 휴가철을 맞아 빈번히 이루어지는 ‘티켓/상품권’의 개인간 거래 시에는 더욱 각별한 주의가 요구되고 있다.  


피해 사이트 통계에서는 네이버 카페에서 7,884건, 번개장터에서 795건의 피해가 발생한 것으로 집계됐다.


더치트 관계자는 “개인간 거래 시에는 안전거래를 이용하고, 더치트에서 판매자의 연락처, 계좌정보에 대한 피해이력이 있는지 여부를 조회해야 피해를 예방하는데 도움이 된다”고 신중한 거래를 당부했다.

[김경애 기자(boan3@boannews.com)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>