국내 웹사이트, 랜섬웨어·악성APK파일·악성URL 줄줄이 포착
  [보안뉴스 김경애] 한 주간 국내 웹사이트 곳곳에서 크립토월 랜섬웨어와 악성URL, 악성APK 파일이 잇따라 포착되고 있는 상황이다.




 ▲ 1일 크립토월 랜섬웨어가 발견된 한 실내악 음악관련 사이트 크립토월 랜섬웨어 발견
한주 동안 국내 웹사이트 곳곳에서 크립토월 랜섬웨어가 발견됐다. 1일에는 한 실내악 음악관련 사이트에서, 지난 9월 29일에는 XX테크널러지와 X플랫 사이트에서, 이보다 하루 앞선 지난 28일에는 XX공제회와 XX대공원XXXX캠핑장, 스냅사진 관련 사이트 XXXX잔에서, 지난 27일에는 영어관련 사이트와 XX광역시 사회적자본XXXX 사이트에서 크립토월 랜섬웨어가 출현했다.

이와 관련 Auditor Lee는 “공격자가 워드프레스 플러그인 취약점을 이용해 악성 스크립트를 삽입했다”며 “악성 스크립트가 작동하지만 공격자의 실수로 다행히 악성 바이너리가 생성되지 않아 파일에 암호가 걸리지는 않았다”고 분석했다.

국내 웹사이트에서 악성 APK 파일 기승
이어 국내 웹사이트에서 안드로이드 악성 APK파일도 잇따라 발견됐다. 지난 29일 XXX피부과 사이트에서 모바일 안드로이드 악성 APK파일이 탐지됐으며, XX교정법연구회 사이트에서 아마존 악성 APK파일이 포착됐다. 이보다 앞선 9월 셋째주에는 한 화장품 사이트에서 광고(애드웨어) 관련 모바일 안드로이드 악성 APK 파일이 발견되기도 했다.
 
의료와 금융관련 사이트, 악성URL 발견
이어 금융정보와 개인정보를 노리는 악성 URL도 잇따라 탐지됐다. 지난 26일에는 XX병원과 한국금융XXX 사이트에서 악성URL이 포착됐다.


 ▲ 지난 26일 악성URL이 포착된 한국금융XXX 사이트 화면

이에 대해 Auditor Lee는 “XX병원의 경우 1일 현재까지도 지속적으로 탐지되고 있으며, 한국금융XXX은 악성URL만 삭제됐을 뿐 근본적인 원인조치가 되지 않았다”고 지적했다. 

 
이어 같은 날 XX악기 사이트에서 내부 인트라넷에 로그인 없이 관리자 권한으로 글을 쓸 수 있는 취약점이 발견되기도 했다.

지난 23일에는 차세대 홍수방어 XXXX연구단 사이트에서 악성URL이 삽입된 정황이 포착됐다.

이를 본지에 제보한 닉네임 메가톤은 “해당 사이트의 경우 악성URL 뿐만 아니라  홈페이지 소스 변조 정황도 탐지됐다”고 밝혔다.

이보다 앞서 지난 9월 셋째주에는 XX극장, XXXXXX소방대, 개인블로그 웹페이지 등에서 금융정보 탈취를 위한 악성코드의 지속적인 활동이 포착됐으며, VPN 연결을 통한 파밍 공격 징후도 탐지됐다.
추석연휴 前, 새로운 기능 탑재로 공격 준비 
추석 연휴를 앞두고는 비정상 링크도 발견됐다. CK 익스플로잇 킷(Exploit Kit)이 연휴를 한주 앞둔 시점에 9.9버전으로 업데이트되어 유포되기 시작했으며, 신규 취약점이 삽입될 가능성이 높은 비정상 링크도 발견됐다.



 ▲ 추석 연휴 이전 기간 악성코드 유포 동향 비교
이와 관련 빛스캔 측은 “올해는 추석 4주전부터 악성코드의 활동이 완만하게 감소하는 추세를 보이고 있지만, 악성코드의 활동이 감소했다 하더라도 매년 추석 이후 새로운 공격방식이나 공격도구의 업데이트가 이루어졌기 때문에 예의주시해야 한다”고 당부했다.



 ▲ 지난 29일 DHL을 사칭한 피싱 사이트
이외에도 지난 9월 29일에는 DHL을 사칭한 피싱사이트도 발견됐다. 해당 피싱 사이트에서는 이용자들의 이메일 계정과 패스워드를 공격자들이 구축해 놓은 C&C 서버로 전송하는 것으로 드러났다.[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>