2024-03-29 23:40 (금)
아파치 서버 공격해 악성코드 유포…보안업체도 피해 입어
상태바
아파치 서버 공격해 악성코드 유포…보안업체도 피해 입어
  • 호애진
  • 승인 2013.09.26 21:25
이 기사를 공유합니다

파이어아이 채용 사이트, 악성코드 유포에 이용돼
랜섬웨어인 ‘레베톤(Reveton)’을 유포시키기 위해 자바와 어도비의 취약점을 이용하는 다크리치(Darkleech) 공격에 수많은 웹사이트가 속수무책 당하고 있다.

다크리치는 아파치 웹서버를 대상으로 설계된 악의적인 모듈로, 아파치 서버에 호스팅된 수천개의 웹사이트가 이미 악성코드를 유포하는데 이용된 것으로 알려져 있다.  
 
최근 보안업체 파이어아이(FireEye)의 웹사이트도 이러한 다크리치 공격의 전개 과정에 이용된 것으로 나타났다. 파이어아이는 공식 블로그를 통해 “자사의 채용 사이트인 fireeye[.]com/careers HR 링크가 드라이브-바이(drive-by) 다운로드 익스플로잇을 유포하고 있다는 보안 전문가들의 제보를 받고 조사에 착수했다”고 밝혔다.
 
그 결과 파이어아이 웹 인프라가 아닌 서드파티(third-party) 웹 서비스 중 하나를 통해 링크된 서드파티 광고업체 시스템이 해당 악성코드를 호스팅 하고 있었던 것으로 드러났다. 이에 회사측은 파트너사들과의 협력을 통해 악성코드와 연결된 링크들을 즉시 삭제했다.
 
파이어아이는 “이번에 이뤄진 공격은 대상이 정해져 있었던 것이 아니고, 워터링홀 공격 역시 아니었다”면서, “이는 최근 발생하고 있는 일련의 다크리치 공격으로, 서드파티 Horde/IMP Plesk 웹메일 서버가 해당 공격에 취약해 자바 익스플로잇을 유포하는데 이용됐고, 궁극적으로는 레베톤이라는 랜섬웨어를 드롭한 것으로 보인다”고 설명했다.
 
파이어아이의 악성코드 연구원인 조쉬 고메즈(Josh Gomez)는 이번 공격의 경우, 전형적인 다크리치 공격에서 보다 발전된 양상을 보였으며, 악성코드가 심어진 웹사이트로 사용자들을 리다이렉트하기 위해 여러 단계의 프로세스를 이용했다고 전했다.

 
다크리치의 주요 역할은 사용자를 악성코드가 심어진 웹페이지로 리다이렉트 시키는 것이다. 이는 일반적으로 블랙홀 익스플로잇 킷을 호스팅하고 있는 사이트를 방문하도록 유도하는데, 이는 취약한 버전의 브라우저나 자바, 어도비 소프트웨어 등을 이용하고 있기 때문에 해당 공격을 막기 위해선 최신 버전으로 업데이트를 하는 것이 중요하다.
 
다크리치와 같은 이러한 공격은 블랙홀 익스플로잇 킷과 같은 툴과 결합해 다른 여러 악성코드를 유포할 수 있어 더욱 문제가 되고 있다. 이미 이를 통해 클릭 사기에 이용되는 악성코드인 ‘제로액세스(ZeroAccess), 다른 악성코드를 다운로드하는 다운로더 ‘포니(Pony), 로그인 정보를 훔치는 금융정보 탈취형 악성코드 ‘제우스(Zeus), 그리고 랜섬웨어 등이 유포된 바 있다.
 
이에 사용자뿐만 아니라 기업에서도 각별한 주의를 기울여야 한다. 이번 파이어아이의 경우, 웹사이트 자체에 악성코드가 심어진 것도 아니고, 이에 따라 직접 유포한 것은 아니지만 보안업체의 웹사이트가 경유지로 이용됐다는 점에서 시사하는 바가 크다고 할 수 있다. 
 
데일리시큐 호애진 기자 ajho@dailysecu.com
■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★