[주간 악성링크] 국내 웹사이트 타깃 공격방식도 ‘각양각색’

국내 웹사이트 대상으로 여러 취약점 결합된 공격 및 악성코드 유포

[보안뉴스 김경애] 한 주간 국내 웹사이트를 타깃으로 다양한 공격 기법이 등장했다. 웹사이트 취약점을 알아서 탐지하고, 자동으로 악성코드를 만들어주는 공격툴을 이용한 공격부터 각종 취약점을 결합한 공격까지 다양하게 탐지되고 있다. 게다가 새로운 기법의 파밍 사이트도 발견됐다.

▲ 지난 31일 오전 10시50분경 악성코드 유포 정황이 포착된 XXX닷컴 사이트 화면

악성코드 유포 및 악성URL 탐지

지난 31일 오전 10시50분경 대표적인 보수언론인이 운영하는 XXX닷컴 사이트에서 악성코드가 유포된 정황이 포착됐다. 이에 대해 하우리 최상명 CERT실 실장은 “해커들이 인도에 악성코드 유포지를 만들어놓고, 해당 사이트를 경유지로 이용해 유포지로 넘어가도록 악성 스크립트를 삽입해 놓은 정황을 포착했다”고 밝혔다.

▲31일 악성URL이 탐지된 XXXXyal.티스토리 사이트 화면

같은 날 XXXXXyal.티스토리 사이트에서도 사용자 추적 코드와 사용자 정보 확인, 사용자 쿠키 정보를 확인하는 악성URL이 탐지됐다.

이를 본지에 제보한 닉네임 메가톤은 “최근 들어 보안이 취약한 국내 웹사이트를 대상으로 복합적인 공격이 탐지되고 있으며, 한 웹페이지에 여러 개의 악성URL이 심어져 있는 사이트도 상당수”라며 주의를 당부했다.

이보다 앞서 지난 30일에는 XXTIME 사이트에서 악성코드가 유포된 흔적이 발견됐다. 또한, 같은 날 XXTV사이트에서는 CVE-2011-3544, CVE-2012-0773, CVE-2014-6332 취약점을 포함한 악성URL이 탐지됐다.

이를 발견한 닉네임 Auditor Lee는 “XXTV사이트의 경우 여러 취약점이 결합된 공격이 발생할 수 있다”며 설명했다.

이외에도 지난 28일 XX뉴스 사이트에서 사용자 추적 코드와 사용자 쿠키 정보를 확인하는 악성URL이 발견됐다.

지능적인 공격툴 이용해 공격

이어 블랙마켓에서 구입할 수 있는 자동화된 공격툴도 잇따라 탐지됐다. 바로 웹사이트 공격툴인 블랙홀 익스플로잇 킷(Blackhole Exploit Kit)과 악성코드를 자동으로 설치하는 레드킷 익스플로잇 킷(RedKit exploit kit)이다.

▲ 지난 31일 블랙홀 익스플로잇 킷과 레드킷 익스플로잇 킷 공격이 탐지된 전국금속노동조합 XX자동차지부 XX공장위원회 사이트 화면

이와 관련 지난 31일에는 전국금속노동조합 XX자동차지부 XX공장위원회 사이트가, 28일에는 화상 및 영상회의, 전자문서, 에너지 수요 예측솔루션 업체인 XX코퍼레이션 사이트에서 블랙홀 익스플로잇 킷과 레드킷 익스플로잇 킷 공격 툴을 이용한 공격이 탐지됐다.

이에 대해 메가톤은 “XX자동차를 타깃으로 한 공격이 최종 목적인 것으로 추정된다”며 “보안이 취약한 협력업체나 해당 사이트를 1차적으로 공격한 뒤, 수집된 정보를 이용해 XX자동차 사이트를 노리는 것으로 보인다”고 말했다.

또한, XX코퍼레이션 사이트의 경우 실행파일인 exe 파일을 내려받도록 유도하고, 사용자 PC정보 등을 유출하는 구글 웹로그가 삽입된 정황도 포착됐다.

▲ 지난 21일 포착된 서울XX의 만화 컨텐츠 홈페이지에 삽입된 비정상링크 화면

이어 서울XX 만화 컨텐츠 페이지의 내부 공용 모듈에 악성링크가 삽입된 정황이 발견됐으며, 동시에 중앙XX 만화 페이지에서도 동일한 악성링크가 삽입됐다. 특히, 해당 사이트는 지난 8월 21일 이전에도 서울XX사이트를 통해 악성링크가 삽입됐던 이력이 있다. 이로 인해 앞으로도 악성링크가 지속적으로 삽입될 가능성이 높다.

이에 대해 빛스캔 관계자는 “악성링크 분석결과 CK 익스플로잇 킷을 통해 파밍 악성코드를 다운받는 것으로 확인됐으며, 버전은 8.11과 8.20”이라며 “서울 XX과 같이 영향력의 범위가 높은 사이트에서 악성코드 활동이 증가하고 있다”고 설명했다.

새로운 기법의 파밍과 피싱 사이트 발견

파밍 사이트와 각종 피싱 사이트도 한 주간 기승을 부렸다. 뿐만 아니라 금융정보 탈취를 위해 맥주소, 공인인증서를 수집하고 파밍사이트로 연결하는 기능을 수행하는 악성코드가 곳곳에서 탐지됐다. 발견된 악성링크에서는 CK 익스플로잇 킷과 네이버 피싱 등 다양한 공격이 이루어졌다.

▲ 지난 30일 피싱 사이트가 삽입된 XXX밴드 사이트 캡처 화면

지난 30일에는 XXX밴드 사이트에서 피싱 사이트가 삽입된 정황이 포착됐고, 이에 앞서 28일에는 XXXX사이트에서 워드프레스 취약점을 이용한 피싱 사이트가 삽입된 것으로 드러났다. 또한, 같은 날 페이팔을 사칭한 피싱 사이트도 발견됐다.

이에 대해 메가톤은 “XXXX사이트에 삽입된 피싱 사이트의 경우 FTP 및 SSH 계정을 탈취한다”고 말했다.

이보다 앞서 지난 25일에는 새로운 기법의 파밍 사이트가 발견됐다. 기존에는 악성코드에 감염된 상태로 네이버에 접속하면 금융감독원 파밍 창이 떴는데, 이제는 정상적인 네이버 웹페이지를 보여준다. 그런 뒤 검색된 은행 사이트를 클릭하면 파밍사이트로 연결되는 수법으로 바뀐 것.

이에 대해 Auditor Lee는 “파밍용 악성코드에 감염된 상태로 네이버 포털에서 은행을 검색해 들어가면 첫 화면은 정상 같이 보이나 페이지를 클릭하면 알림창이 뜬다”며 “알림창 클릭시 파밍이 시작된다”고 설명했다.

이 외에 제로보드 취약점을 이용한 악성URL도 잇따라 탐지됐다. 심미 치과치료 임상자료 및 학술자료를 수록하는 XXXX연구회 사이트와 멘토링과 관련된 XXX코리아 사이트에서 제로보드 취약점을 이용한 악성URL 삽입이 포착됐다.
[김경애 기자(boan3@boannews.com)]

내년 회사에 꼭 도입하고 싶은 보안 솔루션 또는 플랫폼은 무엇인가요?
	XDR
	EDR
	AI 보안
	제로트러스트
	공급망 보안 체계(SBOM)
	클라우드 보안 솔루션
	기타(댓글로)