워드프레스로 만든 웹사이트, 앵글러 익스플로잇 킷 이용해 랜섬웨어 유포
최근 랜섬웨어 변종, 특정 행위를 다른 파일로 생성해 수행... 지능적으로 변모
[보안뉴스 김경애] 한 주간 워드프레스로 만든 웹사이트의 취약점을 이용한 랜섬웨어 유포가 기승을 부리고 있어 이용자들의 주의가 요구된다.
▲ 워드프레스 취약점을 악용한 국내 랜섬웨어 유포 및 감염(자료: 최상명 하우리 CERT 실장)
워드프레스로 만든 웹사이트, 줄줄이 랜섬웨어 유포
15일 국내 다수의 워드프레스 기반 웹사이트가 랜섬웨어 유포지로 악용됐다. 랜섬웨어 유포지로 악용된 사이트는 △XXX페이지 △대전광역시 사회적XX지원센터 △높은뜻 XX교회 △XX산업번역원 △XX니트 그룹 △디자인X △정치XX △XX와 새들의 친구 사이트 등이다.
이에 대해 하우리 최상명 CERT 실장은 “매일 국내 0.008%의 사람들이 계속 랜섬웨어에 감염되고 있는데, 최근 그 비율이 점점 높아지고 있다”며 “특히, 최근 워드프레스로 만들어진 웹사이트가 랜섬웨어 유포지로 악용돼 감염비율을 높이고 있다”며 이용자들의 주의를 당부했다.
이보다 앞서 지난 13일에는 번역서비스 1위 사이트에서 랜섬웨어를 유포한 정황이 발견됐다. 해당 사이트 역시 워드프레스로 만들어진 사이트다.
앵글러 익스플로잇 킷 이용한 랜섬웨어 유포도 빈번
특히, 앞서 언급된 △XX니트 그룹 △디자인X △정치XX 사이트는 지난 12일에도 랜섬웨어를 유포한 바 있다.
이와 관련 최 실장은 “해당 사이트 3곳은 앵글러 익스플로잇 킷을 이용해 랜섬웨어를 유포하고 있다”며 “워드프레스를 공통으로 사용하고 있으며, 공격자는 워드프레스 취약점을 이용해 악성스크립트를 삽입하고 랜섬웨어를 유포했다”고 설명했다.
워드프레스 취약점 이용한 악성URL 기승
제로서트 역시 워드프레스 취약점을 이용한 악성URL 삽입과 랜섬웨어 유포에 주의해야 한다고 강조했다.
이와 관련 지난 8일부터 13일까지 모바일 광고플랫폼 전문 업체와 무역관련 협의체 사이트에서 악성 스크립트와 악성 URL이 주기적으로 바뀌며 활개를 친 정황이 탐지됐다.
▲ 워드프레스 취약점을 악용한 악성 스크립트 및 악성 URL이 삽입된 모바일 광고플랫폼 전문 업체와 무역 관련 협의체 사이트(자료: 제로서트)
이에 대해 제로서트 측은 “워드프레스 기반 홈페이지 담당자는 웹사이트 체크(Website Check) 서비스를 통해 보안에 취약한 워드프레스 버전인지 확인하고, 홈페이지 검사를 받아보는 것이 바람직하다”며 “낮은 버전의 워드프레스 기반 홈페이지인 경우 Application: WordPress 4.2.7에서 4.4.2 update to the latest version으로 업데이트 해야 한다”고 설명했다.
특히, 제로서트 측은 CMS 관리툴 중에는 워드프레스(WordPress) 외에 줌라(Joomla)에서도 취약점이 발견됐다며 CMS 관리툴 이용에 각별한 주의와 함께 주기적인 관리가 필요하다고 당부했다.
테슬라 랜섬웨어 변종, 확장자 변경
지난 11일부터는 워드프레스 취약점을 이용해 유포되는 테슬라 랜섬웨어가 공격자가 파일을 암호화하고, 변경하는 확장자를.micro에서 .mp3로 변경한 것도 포착됐다.
▲ 랜섬웨어가 공격자가 파일을 암호화한 후 .mp3로 확장자 변경한 화면(자료: 최상명 하우리 CERT 실장)
보안전문 파워블로거 울지 않는 벌새(이하 벌새)는 지난 13일 “테슬라크립트 변종 랜섬웨어의 경우 암호화된 파일 확장명을 .mp3로 변경한다”며 “문서 폴더에 파일을 생성하고 기능을 2개의 파일로 분류해서 동작한다”고 분석했다.
▲ 파일 확장명을 .mp3로 변경하고 문서 폴더에 파일을 생성한 화면(자료: 울지않는벌새)
이에 대해 벌새는 “지금까지의 랜섬웨어는 1개의 파일이 모든 기능을 수행했다면 최근에 나온 변종은 특정 행위(VSS 서비스 기능 중지)를 다른 파일로 생성해 수행하는 것이 특징”이라며 “아마도 해외에서 최근 출시된 랜섬웨어 차단 솔루션을 우회할 목적으로 보인다”고 말했다.
특히, 워드프레스 기반 웹사이트는 전체 웹사이트의 1/6을 차지하고 있을 만큼 매우 많이 이용되고 있다. 이 때문에 워드프레스 사용자는 백신을 반드시 최신 버전으로 업데이트하고, 보안패치를 해야 한다.
이처럼 랜섬웨어가 식을줄 모르고 다양한 방식으로 유포되고 있다. 더욱이 최근 인터넷 커뮤니티 등을 통해 크립토락커 랜섬웨어 한국어 버전이 유포됨에 따라 경찰청 사이버안전국은 랜섬웨어 ‘피해주의보’를 발령했다.
클라우드 서비스 이용하는 웹사이트 공격 포착
이외에도 한 주간 해외에서 활동 중인 레드킷 익스플로잇 킷과 지난주 등장했던 클라우드 서비스를 이용하는 웹사이트를 공격에 활용하는 모습도 탐지됐다.
이와 관련 빛스캔 측은 “클라우드 서비스를 이용하고 있는 사이트에서의 공격코드 삽입이 2주 연속 포착됐으며, 광고배너 내부, 파일공유, 전자부품업체, 쇼핑몰 사이트 등에서도 악성링크 삽입이 지속적으로 발견되고 있다”고 말했다.
[김경애 기자(boan3@boannews.com)]
최근 랜섬웨어 변종, 특정 행위를 다른 파일로 생성해 수행... 지능적으로 변모
[보안뉴스 김경애] 한 주간 워드프레스로 만든 웹사이트의 취약점을 이용한 랜섬웨어 유포가 기승을 부리고 있어 이용자들의 주의가 요구된다.
▲ 워드프레스 취약점을 악용한 국내 랜섬웨어 유포 및 감염(자료: 최상명 하우리 CERT 실장)
워드프레스로 만든 웹사이트, 줄줄이 랜섬웨어 유포
15일 국내 다수의 워드프레스 기반 웹사이트가 랜섬웨어 유포지로 악용됐다. 랜섬웨어 유포지로 악용된 사이트는 △XXX페이지 △대전광역시 사회적XX지원센터 △높은뜻 XX교회 △XX산업번역원 △XX니트 그룹 △디자인X △정치XX △XX와 새들의 친구 사이트 등이다.
이에 대해 하우리 최상명 CERT 실장은 “매일 국내 0.008%의 사람들이 계속 랜섬웨어에 감염되고 있는데, 최근 그 비율이 점점 높아지고 있다”며 “특히, 최근 워드프레스로 만들어진 웹사이트가 랜섬웨어 유포지로 악용돼 감염비율을 높이고 있다”며 이용자들의 주의를 당부했다.
이보다 앞서 지난 13일에는 번역서비스 1위 사이트에서 랜섬웨어를 유포한 정황이 발견됐다. 해당 사이트 역시 워드프레스로 만들어진 사이트다.
앵글러 익스플로잇 킷 이용한 랜섬웨어 유포도 빈번
특히, 앞서 언급된 △XX니트 그룹 △디자인X △정치XX 사이트는 지난 12일에도 랜섬웨어를 유포한 바 있다.
이와 관련 최 실장은 “해당 사이트 3곳은 앵글러 익스플로잇 킷을 이용해 랜섬웨어를 유포하고 있다”며 “워드프레스를 공통으로 사용하고 있으며, 공격자는 워드프레스 취약점을 이용해 악성스크립트를 삽입하고 랜섬웨어를 유포했다”고 설명했다.
워드프레스 취약점 이용한 악성URL 기승
제로서트 역시 워드프레스 취약점을 이용한 악성URL 삽입과 랜섬웨어 유포에 주의해야 한다고 강조했다.
이와 관련 지난 8일부터 13일까지 모바일 광고플랫폼 전문 업체와 무역관련 협의체 사이트에서 악성 스크립트와 악성 URL이 주기적으로 바뀌며 활개를 친 정황이 탐지됐다.
▲ 워드프레스 취약점을 악용한 악성 스크립트 및 악성 URL이 삽입된 모바일 광고플랫폼 전문 업체와 무역 관련 협의체 사이트(자료: 제로서트)
이에 대해 제로서트 측은 “워드프레스 기반 홈페이지 담당자는 웹사이트 체크(Website Check) 서비스를 통해 보안에 취약한 워드프레스 버전인지 확인하고, 홈페이지 검사를 받아보는 것이 바람직하다”며 “낮은 버전의 워드프레스 기반 홈페이지인 경우 Application: WordPress 4.2.7에서 4.4.2 update to the latest version으로 업데이트 해야 한다”고 설명했다.
특히, 제로서트 측은 CMS 관리툴 중에는 워드프레스(WordPress) 외에 줌라(Joomla)에서도 취약점이 발견됐다며 CMS 관리툴 이용에 각별한 주의와 함께 주기적인 관리가 필요하다고 당부했다.
테슬라 랜섬웨어 변종, 확장자 변경
지난 11일부터는 워드프레스 취약점을 이용해 유포되는 테슬라 랜섬웨어가 공격자가 파일을 암호화하고, 변경하는 확장자를.micro에서 .mp3로 변경한 것도 포착됐다.
▲ 랜섬웨어가 공격자가 파일을 암호화한 후 .mp3로 확장자 변경한 화면(자료: 최상명 하우리 CERT 실장)
보안전문 파워블로거 울지 않는 벌새(이하 벌새)는 지난 13일 “테슬라크립트 변종 랜섬웨어의 경우 암호화된 파일 확장명을 .mp3로 변경한다”며 “문서 폴더에 파일을 생성하고 기능을 2개의 파일로 분류해서 동작한다”고 분석했다.
▲ 파일 확장명을 .mp3로 변경하고 문서 폴더에 파일을 생성한 화면(자료: 울지않는벌새)
이에 대해 벌새는 “지금까지의 랜섬웨어는 1개의 파일이 모든 기능을 수행했다면 최근에 나온 변종은 특정 행위(VSS 서비스 기능 중지)를 다른 파일로 생성해 수행하는 것이 특징”이라며 “아마도 해외에서 최근 출시된 랜섬웨어 차단 솔루션을 우회할 목적으로 보인다”고 말했다.
특히, 워드프레스 기반 웹사이트는 전체 웹사이트의 1/6을 차지하고 있을 만큼 매우 많이 이용되고 있다. 이 때문에 워드프레스 사용자는 백신을 반드시 최신 버전으로 업데이트하고, 보안패치를 해야 한다.
이처럼 랜섬웨어가 식을줄 모르고 다양한 방식으로 유포되고 있다. 더욱이 최근 인터넷 커뮤니티 등을 통해 크립토락커 랜섬웨어 한국어 버전이 유포됨에 따라 경찰청 사이버안전국은 랜섬웨어 ‘피해주의보’를 발령했다.
클라우드 서비스 이용하는 웹사이트 공격 포착
이외에도 한 주간 해외에서 활동 중인 레드킷 익스플로잇 킷과 지난주 등장했던 클라우드 서비스를 이용하는 웹사이트를 공격에 활용하는 모습도 탐지됐다.
이와 관련 빛스캔 측은 “클라우드 서비스를 이용하고 있는 사이트에서의 공격코드 삽입이 2주 연속 포착됐으며, 광고배너 내부, 파일공유, 전자부품업체, 쇼핑몰 사이트 등에서도 악성링크 삽입이 지속적으로 발견되고 있다”고 말했다.
[김경애 기자(boan3@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.JPG)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
