공공기관, 언론, 유명 커뮤니티 등 방문자수 많은 사이트 대상 악성링크 기승
[보안뉴스 김경애] 한 주간 언론사, 금융기관, 의료 분야 등 다양한 분야 웹사이트에 악성코드가 유포되거나 경유지로 악용되는 등 국내 웹사이트가 또 다시 몸살을 앓고 있다.
▲지난 1일 악성코드 유포 경유지로 악용된 XXX신용정보 웹사이트
공공기관 타깃 공격 징후 포착
먼저 공공기관이나 금융기관 등 주요 기관을 타깃으로 공격징후도 잇따라 포착됐다. 지난 1일에는 치아줄기XX뱅크, XXX신용정보, X산부인과 사이트가 악성코드 유포를 위한 중간경유지로 악용된 정황이 포착됐다.
▲지난 1일 Iframe으로 ‘대전콜밴’ URL과 악성URL이 삽입된 XX청소년회관 사이트
이어 XX청소년회관 사이트에서는 iframe으로 ‘대전콜밴’ URL과 ro521.com 악성URL이 삽입된 게 발견됐다.
이와 관련 Auditor Lee는 “ro521.com 도메인 등록정보가 오스트레일리아로 나온다”며 “이메일은 아웃룩으로, 국가번호는 미국으로 나온다”고 밝혔다.
이보다 앞서 지난 10월 31일에는 XXXX심사평가원 사이트에서 권한 없이 접근이 가능한 취약점이 발견됐으며, 10월 29일에는 XX청사 어린이집 홈페이지 내에 악성코드가 삽입된 정황이 포착됐다.
이를 본지에 제보한 닉네임 메가톤은 “해당 사이트에는 악성URL과 사용자 정보 체크, 사용자 쿠키 체크, CAB 파일 서명 기능의 악성URL이 탐지됐다”고 밝혔다.
이어 지난 10월 28일에는 광양 구례 XXX의원 홈페이지에 악성코드가 삽입된 것으로 드러났는데, 플래시 메뉴 js 파일 분석 결과 암호화된 악성스크립트 삽입이 탐지됐다.
사람들이 많이 이용하는 언론사, 유명 커뮤니티 노려
한 주간 사람들이 많이 이용하는 유명 커뮤니티나 언론사, 쇼핑몰, 중소기업 사이트에서도 악성코드가 줄줄이 발견됐다.
▲지난 1일 야후 피싱 사이트가 삽입된 XX일보 사이트
4일에는 XX뉴스에서 악성URL이 삽입된 정황이, 지난 1일에는 XX일보 사이트에 야후 피싱 사이트가 삽입된 정황이 포착됐다.
이어 한 주간 사전공격 징후도 잇따라 발견됐다. 지난 1일에는 디지털 사진 인화 전문업체 X월드 사이트에서는 카운터가, 낚시용품 전문 쇼핑몰 XX낚시 사이트에는 배너 광고에 ‘웹 툴킷’이, 지난 28일에는 XXX주가의 웹사이트가 변조되고, 악성코드가 삽입된 정황이 발견됐다.
이와 관련 빛스캔 측은 “공격자가 중간 경유지인 하위 링크의 지속적인 변경을 통해 탐지를 회피하고 있다”며 “사전 공격 징후와 404 Not Found 및 카운터링크가 지속적으로 발견되며 계속 증가하고 있다”고 밝혔다.
또한, 보안전문가 Auditor Lee는 카운터링크가 발견된 X월드 사이트에 대해 “웹사이트에 카운터를 삽입해 놓았다는 것은 평소에 방문자 숫자를 체크하기 위한 것으로 방문자가 많은 곳은 악성코드 유포에 이용하고, 방문자 수가 적은 곳은 통로로 사용한다”며 “공격을 준비하기 위한 것으로 보인다”고 말했다.
지난 10월 27일에는 외국 사이트에서 요즘 유행하는 미국 드라마나 영화 등의 동영상을 볼 때 설치하라고 속이는 가짜 플래시 플레이어가 발견되기도 했다.
이와 관련 Auditor Lee는 “해외 사이트에서 동영상을 볼 때, 해당 사이트에서 애드웨어, 악성코드 등과 같은 악의적인 파일을 설치하려고 시도한다”며 말했다.
파밍용 악성코드 감염 위한 비정상 링크 활개
최근 공격자는 악성코드를 많은 사용자에게 단기간에 대량 감염시키기 위한 방법으로 사용자의 방문수가 높은 상업적 목적의 사이트뿐만 아니라 비상업적 목적으로 활용되는 사이트도 함께 노리는 경향이 나타나고 있다.
▲지난 10월 24일 악성링크가 삽입된 XXXX관광국 사이트
지난 10월 24일에는 XXXX관광국의 홈페이지에서 파밍 악성코드를 감염시키기 위한 비정상링크가 주말동안에 삽입된 정황이 발견됐다.
이에 대해 빛스캔 측은 “해당 기간에 방문했던 사용자 가운데 PC 보안이 취약한 경우 악성코드에 노출되어 감염됐을 확률이 높기 때문에 정밀 점검을 할 필요가 있다”고 밝혔다.
이외에도 모바일 기반 악성코드와 파밍 악성코드의 활동이 한 주간 활발했다. 모바일 광고 영역 페이지를 통해 악성앱(APK)이 유포지로 연결되거나 XX파크, XX나, XX패치, X블로그 등의 사이트에서 파밍 악성코드가 활동하는 모습이 계속 포착되는 등 개인 금융정보가 계속 유출되고 있어 각별한 주의가 필요하다는 지적이다.
[김경애 기자(boan3@boannews.com)]
[보안뉴스 김경애] 한 주간 언론사, 금융기관, 의료 분야 등 다양한 분야 웹사이트에 악성코드가 유포되거나 경유지로 악용되는 등 국내 웹사이트가 또 다시 몸살을 앓고 있다.
▲지난 1일 악성코드 유포 경유지로 악용된 XXX신용정보 웹사이트
공공기관 타깃 공격 징후 포착
먼저 공공기관이나 금융기관 등 주요 기관을 타깃으로 공격징후도 잇따라 포착됐다. 지난 1일에는 치아줄기XX뱅크, XXX신용정보, X산부인과 사이트가 악성코드 유포를 위한 중간경유지로 악용된 정황이 포착됐다.
▲지난 1일 Iframe으로 ‘대전콜밴’ URL과 악성URL이 삽입된 XX청소년회관 사이트
이어 XX청소년회관 사이트에서는 iframe으로 ‘대전콜밴’ URL과 ro521.com 악성URL이 삽입된 게 발견됐다.
이와 관련 Auditor Lee는 “ro521.com 도메인 등록정보가 오스트레일리아로 나온다”며 “이메일은 아웃룩으로, 국가번호는 미국으로 나온다”고 밝혔다.
이보다 앞서 지난 10월 31일에는 XXXX심사평가원 사이트에서 권한 없이 접근이 가능한 취약점이 발견됐으며, 10월 29일에는 XX청사 어린이집 홈페이지 내에 악성코드가 삽입된 정황이 포착됐다.
이를 본지에 제보한 닉네임 메가톤은 “해당 사이트에는 악성URL과 사용자 정보 체크, 사용자 쿠키 체크, CAB 파일 서명 기능의 악성URL이 탐지됐다”고 밝혔다.
이어 지난 10월 28일에는 광양 구례 XXX의원 홈페이지에 악성코드가 삽입된 것으로 드러났는데, 플래시 메뉴 js 파일 분석 결과 암호화된 악성스크립트 삽입이 탐지됐다.
사람들이 많이 이용하는 언론사, 유명 커뮤니티 노려
한 주간 사람들이 많이 이용하는 유명 커뮤니티나 언론사, 쇼핑몰, 중소기업 사이트에서도 악성코드가 줄줄이 발견됐다.
▲지난 1일 야후 피싱 사이트가 삽입된 XX일보 사이트
4일에는 XX뉴스에서 악성URL이 삽입된 정황이, 지난 1일에는 XX일보 사이트에 야후 피싱 사이트가 삽입된 정황이 포착됐다.
이어 한 주간 사전공격 징후도 잇따라 발견됐다. 지난 1일에는 디지털 사진 인화 전문업체 X월드 사이트에서는 카운터가, 낚시용품 전문 쇼핑몰 XX낚시 사이트에는 배너 광고에 ‘웹 툴킷’이, 지난 28일에는 XXX주가의 웹사이트가 변조되고, 악성코드가 삽입된 정황이 발견됐다.
이와 관련 빛스캔 측은 “공격자가 중간 경유지인 하위 링크의 지속적인 변경을 통해 탐지를 회피하고 있다”며 “사전 공격 징후와 404 Not Found 및 카운터링크가 지속적으로 발견되며 계속 증가하고 있다”고 밝혔다.
또한, 보안전문가 Auditor Lee는 카운터링크가 발견된 X월드 사이트에 대해 “웹사이트에 카운터를 삽입해 놓았다는 것은 평소에 방문자 숫자를 체크하기 위한 것으로 방문자가 많은 곳은 악성코드 유포에 이용하고, 방문자 수가 적은 곳은 통로로 사용한다”며 “공격을 준비하기 위한 것으로 보인다”고 말했다.
지난 10월 27일에는 외국 사이트에서 요즘 유행하는 미국 드라마나 영화 등의 동영상을 볼 때 설치하라고 속이는 가짜 플래시 플레이어가 발견되기도 했다.
이와 관련 Auditor Lee는 “해외 사이트에서 동영상을 볼 때, 해당 사이트에서 애드웨어, 악성코드 등과 같은 악의적인 파일을 설치하려고 시도한다”며 말했다.
파밍용 악성코드 감염 위한 비정상 링크 활개
최근 공격자는 악성코드를 많은 사용자에게 단기간에 대량 감염시키기 위한 방법으로 사용자의 방문수가 높은 상업적 목적의 사이트뿐만 아니라 비상업적 목적으로 활용되는 사이트도 함께 노리는 경향이 나타나고 있다.
▲지난 10월 24일 악성링크가 삽입된 XXXX관광국 사이트
지난 10월 24일에는 XXXX관광국의 홈페이지에서 파밍 악성코드를 감염시키기 위한 비정상링크가 주말동안에 삽입된 정황이 발견됐다.
이에 대해 빛스캔 측은 “해당 기간에 방문했던 사용자 가운데 PC 보안이 취약한 경우 악성코드에 노출되어 감염됐을 확률이 높기 때문에 정밀 점검을 할 필요가 있다”고 밝혔다.
이외에도 모바일 기반 악성코드와 파밍 악성코드의 활동이 한 주간 활발했다. 모바일 광고 영역 페이지를 통해 악성앱(APK)이 유포지로 연결되거나 XX파크, XX나, XX패치, X블로그 등의 사이트에서 파밍 악성코드가 활동하는 모습이 계속 포착되는 등 개인 금융정보가 계속 유출되고 있어 각별한 주의가 필요하다는 지적이다.
[김경애 기자(boan3@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.png)
.png)
.png)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
