AhnLab Security Emergency response Center(ASEC)에서는 국내 홈페이지 제작업체가 제작한 홈페이지를 타겟으로 공격하여 악성코드 유포에 활용하는 정황이 확인되었다. 특정 홈페이지 제작업체는 제조, 무역, 전기, 전자, 교육, 건설, 의료, 여행 등의 다양한 회사를 대상으로 홈페이지를 제작한 업체다.
침해당한 홈페이지는 악성코드 유포에 활용되며, 웹쉘을 통해 탈취한 정보를 전송하는 등의 기능을 수행한다. 해당 공격 방식의 최초 유포는 ASEC 블로그를 통해 게시한 내용처럼 메일의 첨부파일로 이루어진 것으로 확인된다. 감염된 시스템에는 작업 스케줄러에 등록되어 지속적으로 침해가 이루어 진다.
[그림 1] 작업 스케줄러 등록 스크립트
감염된 경우 작업 스케줄러에 등록된 명령어 처럼 정상 프로세스인 mshta를 통해 웹쉘로 접속하게 되며, 공격자는 이를 이용하여 피해자 PC를 원격제어 하는 방식이다. 원격 제어를 위한 웹쉘의 주소도 미리 침해한 정상 홈페이지 주소를 사용해 피해자는 감염사실을 인지하기 어렵다. 이러한 공격 방식에 사용된 도메인은 모두 위에서 언급한 특정 국내 홈페이지 제작업체가 제작한 것으로 확인했으며, 모두 외부에서 접근 가능한 admin 페이지가 동일한 경로에 존재 했다. 공격자는 해당 페이지를 통해 악성파일을 업로드 한 것으로 추정된디.
과거 기업/기관 홈페이지에 추가된 광고 배너 내부 스크립트를 통해 악성코드 유포된 사례가 있었다. 기관/기업의 홈페이지에 비해 보안에 취약한 광고 업체를 공격하여 악성코드 유포를 시도한 사례이다. 이번에 확인된 내용은 보안에 취약한 홈페이지 제작업체를 대상으로 공격을 수행한 것으로 RedEyes, APT37 공격그룹에 의한 타겟 공격이 홈페이지 제작업체가 제작한 다수의 홈페이지로 악용될 수 있음이 확인되었다. 보안에 취약한 제작업체를 통해 만들어진 홈페이지는 잠재적으로 악성코드 감염에 노출될 수 있으므로 이런 업체를 대상으로 한 보안성 강화 및 내부 시스템 점검이 요구된다.
[행위 진단]
- Connection/MDP.Event.M4612
연관 IOC 및 관련 상세 분석 정보는 안랩의 차세대 위협 인텔리전스 플랫폼 ‘AhnLab TIP’ 구독 서비스를 통해 확인 가능하다.
Categories:악성코드 정보