• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

[주간 악성링크] 해킹팀의 악령 플래시 취약점, 국내 웹사이트 점령 2015.08.11

플래시 취약점 이용한 악성코드 유포, 네이버 위장 로그인 공격 발견 

[보안뉴스 김경애] 7월 3~4주차에 잠잠했던 국내 웹사이트의 악성코드 유포가 최근 들어 다시 활개를 치는 양상이다. 플래시 취약점을 이용한 악성코드가 유포되는가 하면 네이버를 위장한 로그인 공격이 발견됐다. 게다가 국내 도메인을 이용해 43개 피싱사이트를 등록한 정황도 포착됐다.

 ▲10일 악성URL이 탐지된 한국서비스XXX사이트

 

플래시 취약점 이용한 악성코드 유포

어도비 플래시 플레이어 취약점(CVE-2015-5119)을 이용한 악성코드 유포가 크게 증가하고 있어 이용자들의 각별한 주의가 요구된다.


먼저 10일에는 한국서비스XXX사이트에서 악성URL이 탐지됐다. 이를 제보한 닉네임 메카톤은 “사용자 정보 및 쿠키 체크와 CK VIP 익스플로잇 킷(Exploit Kit)을 삽입한 정황이 포착됐다”며 “exe 실행파일을 내려받도록 유도하고, 플래시 버전을 체크하는 기능까지 포함됐다”며 주의를 당부했다.


특히, 지난 8월 6일부터 8월 9일까지 주말동안 국내 웹사이트 경유지 약 1,000여개 이상이 해킹팀 해킹으로 알려진 플래시 취약점을 악용한 악성코드 유포가 진행됐다.


하우리 최상명 CERT실 실장은 “최근 국내 웹사이트를 통해 취약점으로 유포되는 악성코드 대부분이 해킹팀에서 유출된 플래시 취약점을 사용했다”며 “랜섬웨어, 파밍, RAT 등 악성코드 대부분이 해킹팀 취약점으로 유포중”이라고 말했다.

 

이어 그는 “국내에 유포하는 파밍 악성코드 유포 조직도 해킹팀 이슈로 노출된 최신 플래시 취약점을 사용한 것으로 드러났다”며 “국내에 파밍 악성코드를 유포하는 중국 해커조직이 해킹팀 이슈로 유출된 최신 플래시 취약점인 CVE-2015-5119를 사용하기 시작했다. 악성코드의 히스토리 및 연관성을 분석해보면 중국, 러시아, 북한 등이 사용하는 것으로 추정된다”며 공격기술이 상향평준화되고 있다고 덧붙였다.


네이버 위장 로그인과 악성URL도 발견 

피싱 사이트도 잇따라 발견되고 있다. 이와 관련 패스워드 입력 시 스틸XXX사이트에 데이터가 전송되도록 설계된 피싱 사이트와 국내 도메인을 이용해 43개 피싱 사이트를 등록한 정황도 포착됐다. 또한, 강서구 청소년 XXX사이트에 악성URL이 삽입된 정황도 탐지됐다.


이를 본지에 제보한 메가톤(닉네임)은 “국내 도메인을 이용해 무려 43개의 피싱 사이트를 대량으로 등록해 놓았다”며 “해당 사이트를 접속하면 피싱 사이트로 연결되며, 사용자 정보와 쿠키 정보를 확인하고, 정보 입력 시에는 개인정보를 탈취한다”며 각별한 주의를  당부했다.


이보다 앞서 지난 7월 3주차부터는 네이버 위장 로그인 기법이 꾸준히 발견되고 있으며, 7월 4주차부터는 이 기법이 증가하는 추세다. 또한, 8월 3일부터 악성코드의 활동이 본격적으로 시작되고 있는 것으로 추정된다.


이와 관련 빛스캔 관계자는 “지난 주에 발생한 네이버를 위장한 로그인 공격의 규모는 약 60여개 정도였으며, 이번 주에는 최대 약 78여 곳까지 늘어났다”며, “해당 사례에서는 2개의 추가 링크를 통해 감염 확대를 노린 것으로 분석됐다”고 말했다.


특이동향과 관련해서 그는 “신규 경유지를 통한 공격 활동이 시작됐다”며 “최근에는 XX오디오, XXXX온라인, X클럽 등 중소기업 사이트를 중심으로 익스플로잇 킷 등 공격도구를 활용한 공격이 진행될 수 있는 통로가 발견돼 유심히 모니터링하고 있다”고 밝혔다.

악성링크로 정보유출 당하고, 인터넷 사기로 돈 날리고 

악성링크 뿐만 아니다. 인터넷 사기도 기승을 부리고 있다. 최근 인터넷 중고 물품 거래 사이트에서 물품 거래 후, 구매자들이 황당한 물건을 받는 사건이 잇달아 발생하고 있다.

 ▲갤럭시 노트3 대신 배송된 쓰레기

사기피해 정보 공유 사이트 더치트에 따르면 지난 3일 아이폰6를 구매한 이모 씨는 판매자로부터 가글을 택배로 받았다. 용의자는 본인 명의가 아닌 아버지 계좌로 돈을 보내달라며 타인의 계좌를 사용한 것으로 밝혀졌다.


이보다 앞서 지난 7월 28일에는 카메라를 구매한 백씨가 신발을 배송받기도 했다. 용의자는 피해자 백모 씨에게 본인의 얼굴과 주민등록증을 보여주며 입금을 유도한 것으로 알려졌다. 뿐만 아니라, 거래 물품 대신 쓰레기를 보내는 사기범들도 있어 피해자들의 분노는 더욱 커지고 있다.

더치트 관계자는 “온라인 거래 시 안전거래를 이용하고, 더치트에서 판매자의 연락처, 계좌정보에 대한 피해이력이 있는지 여부를 조회해야 피해를 예방하는데 도움이 된다”며 신중한 거래를 당부했다.

[김경애 기자(boan3@boannews.com)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>