[주간 악성링크] 지난 2일에만 악성코드 감염 IP, 1077개 집계

XX출판사와 XX산업개발 웹사이트, 디페이스 해킹 정황 포착
안드로이드에서 치명적인 취약점 대거 발견, 지난 2일 악성코드 감염 IP만 1077개

[보안뉴스 김경애 기자] 한 주간 디페이스 해킹을 비롯해 안드로이드 취약점 발견, 가상화폐 채굴 악성코드 등 다양한 보안이슈가 발생했다. 뿐만 아니라 지난 2일에만 악성코드 감염 IP가 1077개로 집계되는 등 피해가 속출했다.

▲지난 7일 XX출판사와 XX산업개발 웹사이트가 디페이스 해킹된 화면[이미지=보안뉴스]

디페이스 해킹, 동일범 소행
지난 7일에는 XX출판사와 XX산업개발 웹사이트가 웹사이트 화면이 위변조되는 디페이스 해킹을 당한 정황이 포착됐다.

위변조된 웹사이트 화면에서는[!] I'm not a HaCkeR[#], [!] By Nick[#], [!] Everyone Must Die Alone[#], [!] Must [#], [!]China[#]라고 표기돼 있다.

특히 해킹된 두 개의 사이트 모두 같은 화면으로 위변조 됐으며, 이로 인해 동일범일 가능성이 크다.

이를 본지에 알린 제보자는 “이번에 발견된 디페이스 해커는 중국 해커로 추정되고 있으며, 한동안 잠잠했는데 최근 다시 해킹 공격 정황이 포착되고 있다”며 웹사이트 보안에 주의를 당부했다.

구글, 안드로이드 취약점 패치
구글이 안드로이드의 치명적인 취약점들과 위험도 높은 KRACK 취약점을 수정했다.

▲안드로이드 패치[이미지=이스트시큐리티]

이번에 발견된 취약점은 ‘안드로이드 보안 공지 2017년 11월’을 통해 발표된 31개로 그 중 9개는 치명적인 원격 코드 실행 취약점이다. 가장 많은 취약점은 Media 프레임워크에 영향을 미치는 것으로 분석됐다.

▲안드로이드 패치[이미지=이스트시큐리티]

차이나 텔레콤, 가상화폐 채굴 악성코드 감염
11월 2일, China Telecom은 일부 tianyixiaoyuan(天翼校园) 클라이언트가 악성코드에 감염된 것을 발견했다. 악성코드는 감염된 클라이언트에서 트래픽 탈취, 사용자 PC자원을 이용한 가상화폐 채굴 등의 악성행위가 가능하다. 감염된 사용자 PC에서는 CPU 사용률이 급증하며, PC가 뜨거워지는 현상 등이 나타났다.

해당 악성코드에 감염되면, 원격에서 해커의 지령을 받아 PC를 끊임없이 새로고침해 광고 트래픽을 대량으로 발생시키며, 가상화폐 모네로를 채굴한다.

China Telecom은 이러한 상황을 인지한 직후, 해당 프로그램을 내렸으며 바로 조사에 착수했다. 또한 영향을 받는 5개 성의 클라이언트에 긴급조치에 들어갔다. 11월 2일, 긴급조치가 완성된 버전으로 업데이트 했으며, 현재까지 별다른 이상이 발견되지 않았다고 밝혔다.

지난 2일 악성코드 감염 IP, 1077개
빛스캔이 조사한 ‘2017년 11월 1주차 인터넷 위협 분석 보고서’에 따르면 11월 1주차인 10월30일부터 11월 3일까지 주요 특징은 신규 악성코드 간헐적으로 유포되고 있다.

▲11월 1주차 악성코드 감염 IP 탐지 화면[이미지=빛스캔]

신규 악성코드 유포 방법은 CK Exploit Kit(v4.13) 활동이 P2P 사이트를 통해 유포되는 것으로 분석됐다. 특히 주목해야 할 점은 악성코드와 통신하는 C2 Server가 지속적으로 탐지되고 있으며, C2 IP가 계속 변경되고 있다는 것.

또한 10월 30일부터 11월 3일까지 감염된 PC의 공인 IP는 총 약 1만 6,000여건이며, 가장 많이 감염된 날짜는 지난 2일로 1,077개 IP가 감염된 것으로 조사됐다.

이와 관련 빛스캔은 “10월 30일, 31일, 11월2일의 경우 모두 파일 공유 사이트에서 악성코드가 유포됐으며, 10월 31일에는 CVE 2014-6332 취약점인 갓모드(God Mode)가 삽입된 정황도 포착됐다”고 분석했다.
[김경애 기자(boan3@boannews.com)]

내년 회사에 꼭 도입하고 싶은 보안 솔루션 또는 플랫폼은 무엇인가요?
	XDR
	EDR
	AI 보안
	제로트러스트
	공급망 보안 체계(SBOM)
	클라우드 보안 솔루션
	기타(댓글로)