워드프레스에서 날아온 보안 경고문, 클릭하면 사이트 빼앗긴다

원격 코드 실행 공격이 진행되고 있다는 내용의 경고 메시지가 워드프레스 생태계에 뿌려지고 있다. 여기에 속으면 사이트를 공격자에게 빼앗기게 된다. 다행히 아직까지 피해가 기록되지는 않고 있다.

[보안뉴스 문가용 기자] 가짜 보안 경고를 통해 워드프레스 사용자들을 노리는 캠페인이 발견됐다. 공격자들은 가짜 원격 코드 실행 취약점을 언급하며 패치를 해야 한다고 사용자들을 속이는데, 이들이 제공하는 패치를 설치하면 악성코드가 깔리며, 이를 통해 공격자는 사이트를 통째로 가져갈 수 있게 된다.

[이미지 = gettyimagesbank]

이 캠페인을 발견한 건 워드펜스(Wordfence)와 패치스택(Patchstack)이라는 보안 업체다. 이번 캠페인의 특징을 두 업체는 이렇게 정리한다.
1) 워드프레스 사칭 : 워드프레스에서 온 보안 경고
2) CVE-2023-45124 : 이 취약점을 언급하며 패치를 다운로드 하라고 링크를 보냄

패치스택은 “워드프레스에서 공식으로 보낸 메일도 아니고, 워드프레스는 사용자들에게 패치를 첨부한 메일을 따로 보내지 않는다”고 강조했다. “이걸 다운로드 받아 설치하면 백도어가 설치되고, 악성 관리자 계정이 생성됩니다. 사실상 사이트가 통째로 공격자들에게 넘어가는 것과 같습니다.”

공격자들은 이 백도어를 이용해 여러 가지 악성 행위를 실시할 수 있게 된다.
1) 사이트에 광고 삽입
2) 방문자들을 악성 사이트로 우회 접속시킴
3) 영수증, 청구서 등 거래 관련 문서 입수
4) 사이트 폭파
5) 디도스 공격에 활용
6) 사이트 관리자나 소유주 협박

다행인 점은 이 캠페인이 아직까지 그 어떤 성과도 거두지 못하고 있는 것으로 보인다는 것이다. “아무래도 멀웨어를 피해자가 직접 설치하도록 유도하는 공격이니 성공률이 저조한 것으로 보입니다.” 워드펜스의 설명이다. “심지어 패치에 성공했다는 메시지를 화면에 띄우고서 다른 사용자들에게도 패치를 전달하라고 합니다. 멀웨어를 직접 퍼트리라는 것이죠.”

워드프레스 사이트 보호하기
워드프레스로 구축된 웹사이트는 수천만 개에 달한다. 공격자들이 자꾸만 워드프레스 생태계를 공략하는 것은 사용자가 무수히 많기 때문이다. 워드프레스와 관련된 보안 소식 없이 지나가는 주가 없을 정도다. 그렇기 때문에 워드프레스를 기반으로 한 사이트를 소유 및 운영하고 있다면 반드시 보안 소식에 관심을 가져야 한다고 워드펜스는 강조한다. “특히 플러그인을 통한 공격이 빈번하게 발생합니다. 워드프레스 생태계에서 제일 조심해야 할 것이 바로 플러그인입니다.”

이번 캠페인의 성공률이 저조하긴 하지만 그래도 어딘가 피해자가 있을지 모른다. 그래서 워드펜스와 패치스택은 일부 특징들을 공개하고 있다.
1) 이름이 wpsecuritypatch인 사용자 계정이 생성된다
2) wp-autoload.php라는 파일이 루트 폴더에 존재한다
3) wpress-scurity-wordpress나 cve-2023-45124라는 이름의 폴더가 /wp-content/plugins/ folder 내에 존재한다.
4) wpgate.zip으로 향하는 요청들이 기록된다

하지만 여기에 언급된 이름들(즉 변수들)은 공격자들이 얼마든지 중간에 바꿀 수 있으므로 절대적인 감염 여부 평가 지표가 되지는 못한다. “이런 기사가 나간 걸 알고 공격자들이 이름만 살짝 바꿔주는 것도 얼마든지 가능합니다. 그러니 처음부터 워드프레스를 사칭한 메일에 속지 않는 게 중요합니다.”

3줄 요약
1. 워드프레스 생태계에서 피싱 캠페인이 발견됨.
2. 여기에 당하면 사이트를 통째로 빼앗길 수 있음.
3. 워드프레스 사칭한 보안 경고 메일을 조심해야 함.
[국제부 문가용 기자(globoan@boannews.com)]

내년 회사에 꼭 도입하고 싶은 보안 솔루션 또는 플랫폼은 무엇인가요?
	XDR
	EDR
	AI 보안
	제로트러스트
	공급망 보안 체계(SBOM)
	클라우드 보안 솔루션
	기타(댓글로)