2024-03-29 19:20 (금)
“사용자 PC 플러그인 취약점 공격하는 악성코드 업로드 확인”
상태바
“사용자 PC 플러그인 취약점 공격하는 악성코드 업로드 확인”
  • 길민권
  • 승인 2016.03.01 13:44
이 기사를 공유합니다

망고스캔 “지속적으로 하위 페이지 변경해 악성코드 유포 정황 포착”
2월초부터 국내 웹 사이트를 통한 악성코드 유포가 급격히 감소하고 25일 이후 악성코드 공격이 급격히 증가한 것으로 조사됐다.
 
망고스캔 측은 “중국의 가장 큰 명절인 춘절 연휴로 인해 공격자가 휴식기로 접어들어 유포가 이루어지지 않아, 사용자는 영향 받지 않았던 것으로 분석된다”고 밝히고 “그러나 지난 25일 연휴 이후 복귀한 공격자들은 다시 악성코드 유포를 진행하고 있으며 이후 평상시와 동일한 악성코드 유포를 지속해서 할 것으로 예상되어 사용자의 주의가 요구된다”고 설명했다.


1월 중순경 악성코드 경유지로 활용된 사이트. 망고스캔 제공
 
MDsoft 관계자에 따르면, 악성코드 유포 방식에도 많은 변화가 있었다. 평소에는 전산 담당자가 퇴근한 금요일 밤부터 악성코드를 유포해, 전산담당자가 출근하는 월요일 이전에 경유지나 유포지를 삭제해 담당자가 인지하지 못하도록 한다.
 
또 단시간 빠르게 유포하고 빠지는 형태의 시간차 공격 등 우회 방식을 통해 악성코드 탐지를 회피하였다. 그러나 경유지나 유포지가 차단될 것을 대비해, 웹 사이트를 해킹한 뒤 해당 서버의 하위경로 일부를 경유지나 유포 통로로 활용해 차단되었을 때 경로만 변
경해 유포를 한다고 말했다.  
 
실제로, 국내 음향기기 업체 홈페이지의 하위 페이지 일부가 1월 중순경부터 악성코드 경유지로 활용되었고, 최근에 또다시 활용되는 사례가 확인되었다.
 
MDsoft(대표 백진성) 관계자는 “경유지 활용 당시 홈페이지 내 특정 하위페이지에는 사용자 PC 플러그인 취약점을 공격하는 공격코드가 업로드 되었으며, 해당 경유지 주소는 국내 파일공유사이트 등 다양한 사이트에 삽입되어 있어 해당 사이트를 접속한 방문자 중 취약점이 존재하는 PC에는 악성코드가 감염되었다”며 “이후에도 망고스캔에서 집중모니터링을 한 결과 10차례 이상이 악성코드 유포에 활용되는 정황도 추가로 확인할 수 있었다”고 전했다.
 
★정보보안 대표 미디어 데일리시큐!★
 
<데일리시큐 길민권 기자> mkgil@dailysecu.com
■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★