지난달 SecurityWeek에선 리눅스에서 웹사이트에 악성 iFrames를 삽입하던 악성모듈에 대해 보도한 바 있다. 이번 주에는 ESET의 연구원들이 리눅스 기반의 변종 악성코드인 Sweet Orange Exploit kit에 대해 보고를 발표했다.
 
ESET에 따르면, 악성 아파치 모듈은 감염된 LAMPP를 배포함으로 악성 콘텐츠를 웹 페이지에 삽입하는데 사용된다. ESET에 의해 관찰된 이 최신 리눅스 기반의 변종 악성코드는 실질적으로 모든 서비스를 제공하지만, 이는 온라인 은행 고객의 정보를 도용하기로 악명 높은 변종 Zbot(Zeus)를 설치한다는 것.
 
ESET의 분석을 보면, iFrame 삽입은 악성코드(Linux/Chapro.A)가 Sweet Orange Exploit pack의 랜딩페이지로 링크함으로써 실행된다.
 
또 한 관계자는 “우리가 분석할 시점에 Exploit Pack은 리투아니아에서 호스트하고 있었다. 이 Pack은 구 버전의 웹 브라우저나 플러그인의 알려진 취약점에 익스플로잇을 시도했다”며 “현재 분석에서 설명된 공격은 악성코드의 복잡성이 증가되었음을 보여준다. 이 복잡한 사건은 세 개의 다른 나라에서 이용자들을 대상으로 확산되고 있으며, 사법당국의 조사를 어렵게 만들기 위해 확산을 완화시키고 있다”고 설명했다.
 
현재 이 악성코드는 러시아 사용자만을 타깃으로 확산되고 있다. 하지만 문제는 언제든 타깃이 바뀔 수 있는 점이다. 더욱이 이 iFrame 삽입은 손상된 LAMPP 배포 본에서 투명하게 삽입된다. 서버관리자가 손상의 흔적을 찾고자 노력하지 않는다면 피해를 당할 수 있어 주의해야 한다. 
 
<참고사이트>
-www.securityweek.com/apache-malware
 
About 김민주 객원기자

TeamWANG 소속. ISEC2009, 2009 순천향대, 2012 시큐인사이드, 2012 HUST 등 여러 해킹대회 참가. 동아리 활동은 DoRoSiRus(2009), Trace(2009~2010), TempTMP(2012), TeamWang(2012) 등에서 활동. 보안분야 관심사는 System Hacking, Virus 등. 주요 연구 내용은 시스템 제로데이, NFC 해킹 등 시스템 관련 내용들이다. 장래 희망은 보안전문가가 되는 것
 
[데일리시큐 김민주 객원기자 brian020305@gmail.com]