국가보훈관련 연구, 취업, 날씨, 파일공유 사이트 등 악성코드 활개
최근 VBA Form을 활용한 새로운 매크로 바이러스도 발견
[보안뉴스 김경애] 한 주간 국가보훈관련 연구사이트에서 악성코드가 유포됐으며, 봄철 채용 시즌이 되면서 한 취업사이트에서도 악성코드가 유포된 것으로 드러났다. 뿐만 아니라 많은 사람들 이용하는 날씨, 파일공유 사이트 등에서도 악성코드가 발견됐다. 최근에는 VBA Form을 활용한 매크로 바이러스도 포착됐다.
▲지난 16일 4개 웹하드 홈페이지을 통해 악성코드 유포
웹하드 사이트 통해 악성코드 유포
16일 4개 웹하드 홈페이지을 통해 악성코드 유포되고 있어 이용자들의 주의가 요구된다. 해당 악성코드는 금융정보 탈취형 악성코드로 분석됐으며, 이용자들의 금전적 피해가 발생할 수 있다.
국가보훈관련 연구 사이트 악성코드 유포
지난 11일부터 국내 사이트를 대상으로 한 악성코드 유포행위가 확산되고 있는 것으로 드러났다. 특히, 그중에서도 국방 및 국가보훈 관련 연구 등을 목적으로 설립된 한 연구원에서 악성코드가 발견됐다.
▲지난 11일 악성코드가 유포된 국가보훈관련 연구 사이트
이에 대해 제로서트 측은 “최근 들어 북한의 사이버공격 위협이 높아지고 있는 데다 국가사이버위기경보까지 ‘주의’단계인 만큼 보안 모니터링 및 대응이 한층 강화되어야 한다”며 “해당 사이트는 동일 IP 대역으로 다른 홈페이지도 다수 확인됐다”고 밝혔다.
취업, 파일공유 사이트 등 13일부터 악성코드 확산
덧붙여 제로서트 측은 “취업과 아웃소싱 등 관련 홈페이지에서도 동일한 악성코드 유포가 확인되고 있어 해당 호스팅업체는 전반적인 점검이 필요하다”며 “주말부터 인터넷을 통한 악성코드 유포 활동이 다시 활성화되고 있다”고 덧붙였다.
▲신규경유지 및 악성코드 유포 현황(자료제공: 빛스캔)
빛스캔(대표 문일준) 관계자도 “3월 3주차부터는 악성코드 공격이 점차 확대되고 있다”며 “몇몇 취업사이트는 물론 파일공유(P2P), 중소기업, 패션 사이트 등에서도 유포됐다”고 밝혔다. 또한, 소규모 멀웨어넷(MalwareNet)이 형성되고 있으며, 파밍 악성코드도 발견되고 있다는 게 빛스캔 측의 설명이다.
▲국내 웹을 통한 악성코드 유포 현황(출처:하우리)
하우리 최상명 CERT 실장도 “지난 13일 주말부터 15일까지 현재까지 국내 웹사이트를 통한 악성코드 유포행위가 정점에 달하고 있다”며 “올해 들어 웹을 통한 악성코드 유포현황 가운데 최고 수준”이라고 말했다.
VBA Form을 활용한 매크로 바이러스 발견
한편, 최근 VBA Form을 활용한 매크로 바이러스도 발견됐다. 이는 새로운 형태의 매크로 악성코드로 엑셀 개발자 도구의 Visual Basic을 이용해 Form Object에 매크로 코드를 작성했으며, 코드 또한 난독화를 적용한 형태로 분석됐다. 기본 구조는 ‘우크라이나 정전사태 관련 악성코드’와 같이 매크로 구조로 알려졌다.
▲매크로를 이용한 악성코드 실행 과정(출처: 세인트 시큐리티)
세인트시큐리티(대표 김기홍) 측은 “공격자가 악성 문서파일이 첨부된 이메일을 특정 타깃에게 유포하면 메일 수신자는 첨부된 파일을 실행하게 되고 악성파일 내부의 매크로에 의해 외부 서버로부터 악성파일이 다운로드되고 실행된다”며 “분석 대상 샘플의 경우 외부 서버로부터 Locky 랜섬웨어를 다운로드 후 실행하게 된다”고 밝혔다.
환절기 시즌 날씨 관련 사이트 등 악성코드 ‘기승’
지난 4일에는 날씨XX에서 제공하는 배너페이지 내부에 악성링크가 삽입돼 관련 서비스 이용사이트에서 악성코드가 유포된 것으로 드러났다. 특정 정보를 제공하는 배너 형태의 서비스는 다양한데, 그 중에서도 날씨XX을 사용하는 사이트도 상당히 많은 것으로 파악돼 추가 피해가 우려된다.
▲지난 4일 날씨XX 배너에 삽입되어 있는 악성링크(자료제공: 빛스캔)
더욱 해당 유형의 경우 웹서비스의 주체와 배너 제공 주체가 서로 달라 실제로 악성코드 유포 여부를 인지하거나 인지하더라도 신속한 대응이 쉽지 않다는 지적이다.
따라서 이러한 서비스를 제공하는 업체에서 보안을 강화하지 않는다면, 동일한 사례가 발생할 수밖에 없다는 것. 이와 비슷한 사례로, 2013년 6월 댓글 시스템에서 악성링크가 삽입돼 수백여 개 이상의 웹사이트에서 피해가 발생한 바 있다.
또한, 사용자 방문이 많은 파일공유(P2P), 언론사, 광고페이지, 유명 패션사이트, 커뮤니티 등과 같은 웹사이트에서 악성코드가 유포됐다. 또한, 특정 사이트는 다단계 통로를 활용해 2주 연속 악성코드가 유포됐으며, Cloud Flare 서비스를 활용하는 웹사이트에서도 악성코드 경유지 및 유포지로 악용되기도 했다.
이와 관련 빛스캔은 “3월 2주차 악성코드 활동은 예년 수준을 회복한 것으로 집계됐다”며 “특히, 신규 경유지가 크게 증가했으며, 파일공유(P2P), 날씨 배너 사이트에서의 악성코드 유포가 활발했다”고 밝혔다.
벤더별 취약점 구글 11건으로 가장 많이 발생
한 주간 벤더별 취약점 중 구글이 총 11건으로 가장 많이 발생했다.
▲3월1주차 밴더별 취약점 통계(출처:SK인포섹 블로그)
SK인포섹 블로그에 따르면 3월1주차 발생된 총19건의 벤더별 취약점 중 구글 11건(57.89%), 어도비 4건(21.05%), 시스코 4건(21.05%) 순으로 나타났다.
▲3월 1주차 탐지된 공격유형(출처:SK인포섹 블로그)
지난 한 주간 탐지된 공격유형으로는 웹해킹 58.14%, 시스템 해킹 15.85%가 높은 점유율을 차지했고, 탐지된 패턴은 Ping_Seep 41,855건(20.88%)가 가장 많았다.
한편, 15일 기준 국가정보원의 사이버위기 경보단계와 한국인터넷진흥원의 인터넷침해사고 경보단계는 여전히 ‘주의’ 단계다. ‘오늘의 사이버위협’의 경우 악성코드 발견 홈페이지는 77개, 신종 스미싱 악성앱 9개, 피싱, 파밍 차단 사이트 24개로 각각 전날보다 증가한 것으로 나타났다.
[김경애 기자(boan3@boannews.com)]
최근 VBA Form을 활용한 새로운 매크로 바이러스도 발견
[보안뉴스 김경애] 한 주간 국가보훈관련 연구사이트에서 악성코드가 유포됐으며, 봄철 채용 시즌이 되면서 한 취업사이트에서도 악성코드가 유포된 것으로 드러났다. 뿐만 아니라 많은 사람들 이용하는 날씨, 파일공유 사이트 등에서도 악성코드가 발견됐다. 최근에는 VBA Form을 활용한 매크로 바이러스도 포착됐다.
▲지난 16일 4개 웹하드 홈페이지을 통해 악성코드 유포
웹하드 사이트 통해 악성코드 유포
16일 4개 웹하드 홈페이지을 통해 악성코드 유포되고 있어 이용자들의 주의가 요구된다. 해당 악성코드는 금융정보 탈취형 악성코드로 분석됐으며, 이용자들의 금전적 피해가 발생할 수 있다.
국가보훈관련 연구 사이트 악성코드 유포
지난 11일부터 국내 사이트를 대상으로 한 악성코드 유포행위가 확산되고 있는 것으로 드러났다. 특히, 그중에서도 국방 및 국가보훈 관련 연구 등을 목적으로 설립된 한 연구원에서 악성코드가 발견됐다.
▲지난 11일 악성코드가 유포된 국가보훈관련 연구 사이트
이에 대해 제로서트 측은 “최근 들어 북한의 사이버공격 위협이 높아지고 있는 데다 국가사이버위기경보까지 ‘주의’단계인 만큼 보안 모니터링 및 대응이 한층 강화되어야 한다”며 “해당 사이트는 동일 IP 대역으로 다른 홈페이지도 다수 확인됐다”고 밝혔다.
취업, 파일공유 사이트 등 13일부터 악성코드 확산
덧붙여 제로서트 측은 “취업과 아웃소싱 등 관련 홈페이지에서도 동일한 악성코드 유포가 확인되고 있어 해당 호스팅업체는 전반적인 점검이 필요하다”며 “주말부터 인터넷을 통한 악성코드 유포 활동이 다시 활성화되고 있다”고 덧붙였다.
▲신규경유지 및 악성코드 유포 현황(자료제공: 빛스캔)
빛스캔(대표 문일준) 관계자도 “3월 3주차부터는 악성코드 공격이 점차 확대되고 있다”며 “몇몇 취업사이트는 물론 파일공유(P2P), 중소기업, 패션 사이트 등에서도 유포됐다”고 밝혔다. 또한, 소규모 멀웨어넷(MalwareNet)이 형성되고 있으며, 파밍 악성코드도 발견되고 있다는 게 빛스캔 측의 설명이다.
▲국내 웹을 통한 악성코드 유포 현황(출처:하우리)
하우리 최상명 CERT 실장도 “지난 13일 주말부터 15일까지 현재까지 국내 웹사이트를 통한 악성코드 유포행위가 정점에 달하고 있다”며 “올해 들어 웹을 통한 악성코드 유포현황 가운데 최고 수준”이라고 말했다.
VBA Form을 활용한 매크로 바이러스 발견
한편, 최근 VBA Form을 활용한 매크로 바이러스도 발견됐다. 이는 새로운 형태의 매크로 악성코드로 엑셀 개발자 도구의 Visual Basic을 이용해 Form Object에 매크로 코드를 작성했으며, 코드 또한 난독화를 적용한 형태로 분석됐다. 기본 구조는 ‘우크라이나 정전사태 관련 악성코드’와 같이 매크로 구조로 알려졌다.
▲매크로를 이용한 악성코드 실행 과정(출처: 세인트 시큐리티)
세인트시큐리티(대표 김기홍) 측은 “공격자가 악성 문서파일이 첨부된 이메일을 특정 타깃에게 유포하면 메일 수신자는 첨부된 파일을 실행하게 되고 악성파일 내부의 매크로에 의해 외부 서버로부터 악성파일이 다운로드되고 실행된다”며 “분석 대상 샘플의 경우 외부 서버로부터 Locky 랜섬웨어를 다운로드 후 실행하게 된다”고 밝혔다.
환절기 시즌 날씨 관련 사이트 등 악성코드 ‘기승’
지난 4일에는 날씨XX에서 제공하는 배너페이지 내부에 악성링크가 삽입돼 관련 서비스 이용사이트에서 악성코드가 유포된 것으로 드러났다. 특정 정보를 제공하는 배너 형태의 서비스는 다양한데, 그 중에서도 날씨XX을 사용하는 사이트도 상당히 많은 것으로 파악돼 추가 피해가 우려된다.
▲지난 4일 날씨XX 배너에 삽입되어 있는 악성링크(자료제공: 빛스캔)
더욱 해당 유형의 경우 웹서비스의 주체와 배너 제공 주체가 서로 달라 실제로 악성코드 유포 여부를 인지하거나 인지하더라도 신속한 대응이 쉽지 않다는 지적이다.
따라서 이러한 서비스를 제공하는 업체에서 보안을 강화하지 않는다면, 동일한 사례가 발생할 수밖에 없다는 것. 이와 비슷한 사례로, 2013년 6월 댓글 시스템에서 악성링크가 삽입돼 수백여 개 이상의 웹사이트에서 피해가 발생한 바 있다.
또한, 사용자 방문이 많은 파일공유(P2P), 언론사, 광고페이지, 유명 패션사이트, 커뮤니티 등과 같은 웹사이트에서 악성코드가 유포됐다. 또한, 특정 사이트는 다단계 통로를 활용해 2주 연속 악성코드가 유포됐으며, Cloud Flare 서비스를 활용하는 웹사이트에서도 악성코드 경유지 및 유포지로 악용되기도 했다.
이와 관련 빛스캔은 “3월 2주차 악성코드 활동은 예년 수준을 회복한 것으로 집계됐다”며 “특히, 신규 경유지가 크게 증가했으며, 파일공유(P2P), 날씨 배너 사이트에서의 악성코드 유포가 활발했다”고 밝혔다.
벤더별 취약점 구글 11건으로 가장 많이 발생
한 주간 벤더별 취약점 중 구글이 총 11건으로 가장 많이 발생했다.
▲3월1주차 밴더별 취약점 통계(출처:SK인포섹 블로그)
SK인포섹 블로그에 따르면 3월1주차 발생된 총19건의 벤더별 취약점 중 구글 11건(57.89%), 어도비 4건(21.05%), 시스코 4건(21.05%) 순으로 나타났다.
▲3월 1주차 탐지된 공격유형(출처:SK인포섹 블로그)
지난 한 주간 탐지된 공격유형으로는 웹해킹 58.14%, 시스템 해킹 15.85%가 높은 점유율을 차지했고, 탐지된 패턴은 Ping_Seep 41,855건(20.88%)가 가장 많았다.
한편, 15일 기준 국가정보원의 사이버위기 경보단계와 한국인터넷진흥원의 인터넷침해사고 경보단계는 여전히 ‘주의’ 단계다. ‘오늘의 사이버위협’의 경우 악성코드 발견 홈페이지는 77개, 신종 스미싱 악성앱 9개, 피싱, 파밍 차단 사이트 24개로 각각 전날보다 증가한 것으로 나타났다.
[김경애 기자(boan3@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
