(주)코어시큐리티 :::Global Security Contents Leader:::
Phone: 02-3453-6630 Email: coresec@coresec.co.kr

상세 내용

워드프레스 취약점 이용한 랜섬웨어 유포 外

워드프레스 취약점 이용한 랜섬웨어 유포 및 디페이스 해킹 포착_

보안이 취약한 호스팅 업체 통해 파밍·스미싱 악성코드 유포_

어도비 플래시·IE·자바·제로보드 등 취약점 이용한 악성코드 활개

 

보안뉴스 김경애] 이번 한 주간도 각종 악성코드가 유포되며, 국내 이용자를 노리고 있는 것으로 드러났다. 특히, 지난 12일에는 익명의 사용자가 사이트에 악성 스크립트를 삽입할 수 있는 워드프레스 취약점에 대한 패치가 발표되기가 무섭게 워드프레스 취약점을 이용한 랜섬웨어까지 등장했다. 따라서 이용자들은 백신 업데이트, 소프트웨어 최신버전 유지, 문자에 포함된 URL 클릭 금지 등 기본적인 보안수칙의 철저한 준수가 요구된다.
 

 ▲ 워드프레스 Revslider 취약점으로 인해 디페이스 해킹을 당한 웹사이트 캡처화면

 

 

1. 워드프레스 취약점 이용한 랜섬웨어 유포

먼저 워드프레스(Wordpress) 취약점을 이용한 랜섬웨어가 발견됐다. 이와 관련 K-Shield의 Auditor Lee는 13일 “기능성 헤어제품을 판매하는 한 사이트가 워드프레스 Revslider 취약점으로 인해 디페이스 해킹을 당한 정황이 포착됐다”고 밝혔다. 

 

이어 국내 소셜미디어 마케팅 공유 모임 사이트에서도 광고 모듈 웹페이지 변조를 통한 한글판 랜섬웨어가 유포되는 정황이 포착됐다. 이와 관련 하우리 최상명 CERT 실장은 “최근 웹사이트 템플릿 워드프레스 취약점이 지속적으로 발견되고 있다”며 “해당 취약점을 이용한 웹사이트 디페이스 해킹 및 악성코드 삽입이 증가하고 있으며, 전 세계 랜섬웨어 유포조직이  이를 악용해 공격을 시도하는 등 랜섬웨어 악성코드가 계속 국내로 유입되고 있다”고 설명했다. 이에 따라 그는 국내 웹사이트 운영자들의 철저한 보안패치 및 관리점검을 당부했다.

 

2. 호스팅 업체 사이트, 악성코드 및 스미싱 APK 파일 유포

다음으로 보안이 허술한 호스팅 업체 사이트를 통해서도 파밍용 악성코드가 유포되고 있는 것으로 드러났다. 이 뿐만 아니다. 본지가 13일 보도한 바와 같이 스미싱 APK 파일도 유포되고 있는 정황도 발견됐다.

 

이와 관련 최상명 실장은 “6개월 넘게 특정 무료 호스팅 업체 공통 스크립트 웹페이지들이 해킹 당해 지속적으로 파밍 악성코드를 유포하고 있다”며 “해당 호스팅 업체를 통해 호스팅 되는 홈페이지가 무려 1만개 이상으로, 문제가 발생하면 해당 악성코드 링크만 제거될 뿐 근본적인 원인이 개선되지 않아 지속적으로 악용되고 있다”고 밝혔다.

 

3. IE, 어도비, 자바 등 취약점 주로 악용

이어 천마, 상황버섯, 비타민나무 제품 등을 판매하는 생약 쇼핑몰 사이트에 악성 URL이 삽입된 정황이 포착됐다. 이에 본지가 13일 해당 사이트를 접속한 결과, 익스플로잇 툴킷에 의한 공격으로 접속을 차단하고 있다고 백신은 진단했다.
 

 ▲ 제로보드 취약점으로 인해 악성링크가 삽입된 사이트 캡처화면

 

 

이와 관련 김근주 실장은 “어도비 플래시 플레이어 취약점인 CVE-2011-2140를 악용한 CK VIP Exploit Kit이 발견됐다”며 “어도비 플래시 플레이어를 이용해 EXE File Signatures가 다운로드되는데 악성코드에 감염될 경우 51yes.com(중국 사이트)사이트로 사용자 정보 등이 전송된다”고 밝혔다. CK VIP Exploit Kit은 해당 시스템에 취약점이 어느 것인지 찾고, 그 취약점에 맞는 악성코드를 내려주는 역할을 한다.

 

게다가 13일에는 H컴퓨터 Q&A 게시판 웹페이지에서, 12일에는 HR서비스를 제공하는 한 웹사이트에서,  그리고 11일에는 P식품업체 공장 견학 게시판에도 악성스크립트가 삽입된 정황이 포착됐다.

 

이와 관련 김근주 실장은 “5월 1일부터 공격자드이 주로 웹사이트 게시판을 노리고 있다”며 “대부분 IE 취약점, 어도비 플래시 플레이어, 자바 취약점을 이용하고 있으며, 최대한 발견되지 않도록 Q&A 하단, 태그 소스의 맨 아래에 악성코드를 링크해 놓거나 암호화해서 숨겨놓는 등 더욱 지능적인 양상을 보이고 있다”고 설명했다.

 

4. 언론사 악성파일 유포도 계속 

이어 언론사 사이트에 악성코드가 삽입되거나 악성코드 유포지로 악용되는 정황도 계속 포착되고 있다.
 

 ▲ 10일 악성스크립트가 삽입된 언론사 웹사이트 캡처화면

 

 

본지는 지난 6일 A사, I사, M사, S사, 또다른 S사의 경우 모두 각 웹사이트의 카툰 웹페이지에서 악성코드가 발견된 정황이 포착됐다고 보도한 바 있다. 그러나 악성링크 삭제 조치 이후에도 A사, I사, S사 사이트에서 지난 9일 또 다시 재유포되는 상황이 이어졌다.

 

이와 관련 K-Shield의 Auditor Lee는 “언론사 웹사이트인 A사, I사, S사 사이트에서 9일 새벽 1시부터 또 다시 악성파일을 유포한 정황이 발견됐다”며 “지난 6일 유포됐던 카툰 웹페이지에서 재유포됐다”고 밝혔다. 게다가 지난 10일에는 스포츠매체 사이트와 W사, 또 다른 I사 웹사이트에서도 악성코드가 유포되는 정황이 포착됐다고 덧붙였다.    

 

출처 : 보안뉴스 

Security Global Contents Leader Core Security!