국내 웹사이트 대상으로 여러 취약점 결합된 공격 및 악성코드 유포

[보안뉴스 김경애] 한 주간 국내 웹사이트를 타깃으로 다양한 공격 기법이 등장했다. 웹사이트 취약점을 알아서 탐지하고, 자동으로 악성코드를 만들어주는 공격툴을 이용한 공격부터 각종 취약점을 결합한 공격까지 다양하게 탐지되고 있다. 게다가 새로운 기법의 파밍 사이트도 발견됐다.

악성코드 유포 및 악성URL 탐지

지난 31일 오전 10시50분경 대표적인 보수언론인이 운영하는 XXX닷컴 사이트에서 악성코드가 유포된 정황이 포착됐다. 이에 대해 하우리 최상명 CERT실 실장은 “해커들이 인도에 악성코드 유포지를 만들어놓고, 해당 사이트를 경유지로 이용해 유포지로 넘어가도록 악성 스크립트를 삽입해 놓은 정황을 포착했다”고 밝혔다.

같은 날 XXXXXyal.티스토리 사이트에서도 사용자 추적 코드와 사용자 정보 확인, 사용자 쿠키 정보를 확인하는 악성URL이 탐지됐다.

이를 본지에 제보한 닉네임 메가톤은 “최근 들어 보안이 취약한 국내 웹사이트를 대상으로 복합적인 공격이 탐지되고 있으며, 한 웹페이지에 여러 개의 악성URL이 심어져 있는 사이트도 상당수”라며 주의를 당부했다.

이보다 앞서 지난 30일에는 XXTIME 사이트에서 악성코드가 유포된 흔적이 발견됐다. 또한, 같은 날 XXTV사이트에서는 CVE-2011-3544, CVE-2012-0773, CVE-2014-6332 취약점을 포함한 악성URL이 탐지됐다.

이를 발견한 닉네임 Auditor Lee는 “XXTV사이트의 경우 여러 취약점이 결합된 공격이 발생할 수 있다”며 설명했다.

이외에도 지난 28일 XX뉴스 사이트에서 사용자 추적 코드와 사용자 쿠키 정보를 확인하는 악성URL이 발견됐다.

지능적인 공격툴 이용해 공격

이어 블랙마켓에서 구입할 수 있는 자동화된 공격툴도 잇따라 탐지됐다. 바로 웹사이트 공격툴인 블랙홀 익스플로잇 킷(Blackhole Exploit Kit)과 악성코드를 자동으로 설치하는 레드킷 익스플로잇 킷(RedKit exploit kit)이다.

이에 대해 빛스캔 관계자는 “악성링크 분석결과 CK 익스플로잇 킷을 통해 파밍 악성코드를 다운받는 것으로 확인됐으며, 버전은 8.11과 8.20”이라며 “서울 XX과 같이 영향력의 범위가 높은 사이트에서 악성코드 활동이 증가하고 있다”고 설명했다.

새로운 기법의 파밍과 피싱 사이트 발견

파밍 사이트와 각종 피싱 사이트도 한 주간 기승을 부렸다. 뿐만 아니라 금융정보 탈취를 위해 맥주소, 공인인증서를 수집하고 파밍사이트로 연결하는 기능을 수행하는 악성코드가 곳곳에서 탐지됐다. 발견된 악성링크에서는 CK 익스플로잇 킷과 네이버 피싱 등 다양한 공격이 이루어졌다.

지난 30일에는 XXX밴드 사이트에서 피싱 사이트가 삽입된 정황이 포착됐고, 이에 앞서 28일에는 XXXX사이트에서 워드프레스 취약점을 이용한 피싱 사이트가 삽입된 것으로 드러났다. 또한, 같은 날 페이팔을 사칭한 피싱 사이트도 발견됐다.

이에 대해 메가톤은 “XXXX사이트에 삽입된 피싱 사이트의 경우 FTP 및 SSH 계정을 탈취한다”고 말했다.

이보다 앞서 지난 25일에는 새로운 기법의 파밍 사이트가 발견됐다. 기존에는 악성코드에 감염된 상태로 네이버에 접속하면 금융감독원 파밍 창이 떴는데, 이제는 정상적인 네이버 웹페이지를 보여준다. 그런 뒤 검색된 은행 사이트를 클릭하면 파밍사이트로 연결되는 수법으로 바뀐 것.

이에 대해 Auditor Lee는 “파밍용 악성코드에 감염된 상태로 네이버 포털에서 은행을 검색해 들어가면 첫 화면은 정상 같이 보이나 페이지를 클릭하면 알림창이 뜬다”며 “알림창 클릭시 파밍이 시작된다”고 설명했다.

이 외에 제로보드 취약점을 이용한 악성URL도 잇따라 탐지됐다. 심미 치과치료 임상자료 및 학술자료를 수록하는 XXXX연구회 사이트와 멘토링과 관련된 XXX코리아 사이트에서 제로보드 취약점을 이용한 악성URL 삽입이 포착됐다.
[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>