국내 유명 사이버 학습원에서 CK VIP Exploit 통한 KRBanker 악성코드 유포 정황 포착
19일 오전 9시에 해당 사이트에서 최초 발견...총 7가지 취약점 이용해 공격
호스트파일 변조 방법 아닌 로컬에 프락시 서버 구축해 C&C 웹페이지로 포워딩

[보안뉴스 김경애 기자] 국내 유명 사이버 학습원에서 CK VIP Exploit을 통한 KRBanker 악성코드가 유포된 정황이 포착됐다. 파밍 악성코드가 다시 귀환한 것으로 이용자들의 각별한 주의가 요구되고 있다.


▲해당 사이트에 삽입된 악성 스크립트 코드 화면[이미지=이스트시큐리티]

이와 관련 제로써트 측은 “CK VIP(KaiXin) 익스플로잇 킷 공격도구를 이용한 파밍 악성코드가 특정 민간위탁사이버교육센터 홈페이지에서 유포된 정황이 포착됐다”며 “해당 사이트는 정부와 공공기관이 제휴사로 포함돼 있어 많은 이용자가 이용할 수 있는 만큼 파밍 악성코드에 금전적 피해가 발생하지 않도록 인터넷 이용에 각별히 주의할 것”을 당부했다.

악성코드가 유포된 사이트는 정상적인 스크립트 파일 내부에 악성 스크립트를 삽입해 악성 URL로 연결시킨다.

취약한 윈도우와 소프트웨어를 사용 중인 사용자가 해당 사이트를 방문할 경우 드라이브 바이 다운로드(Drive By Download) 기법에 의해 악성코드가 실행될 수 있다. 악성코드는 hosts 파일 변조를 통한 파밍 방법과는 달리 로컬에 프락시 서버를 구축해 C&C로 웹페이지를 포워딩하는 방법을 사용하고 있다.

악성코드는 19일 오전 9시에 해당 사이트에서 발견됐으며, CK VIP(KaiXin) 익스플로잇 킷 공격도구로 만들어진 사이트로 확인됐다. 해당 사이트에는 CVE-2018-8174, CVE-2016-0189 VB스크립트 취약점, CVE-2016-7201 엣지 브라우저 취약점 등을 포함하여 총 7가지 취약점을 악용한 공격이 감행된 것으로 분석됐다.


▲감염된 시스템에서 보여지는 파밍 사이트 화면[이미지=이스트시큐리티]

이와 관련 이스트시큐리티 측은 “KRBanker 악성코드는 2016년까지 성행했지만 2017년부터 최근까지 공격자 그룹이 모습을 감춘 악성코드”라며 “악성코드가 19일 기점으로 다시 유포를 시작한다는 점에서 주의를 기울여야 하며, 이러한 악성코드에 감염되지 않기 위해서는 윈도우 보안 업데이트를 포함한 각종 어플리케이션 업데이트를 항상 최신으로 유지하는 보안 습관을 준수해야 한다”고 당부했다.
[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>