타깃 사용자 방문하는 웹사이트 이용…사용자 키 입력 정보 가로채
북한 관련 전문기관 웹 페이지에서 액티브X 취약점을 이용한 드라이브 바이 다운로드 공격이 발생한 것이 확인됐다.
빛스캔(대표 김경근)에 따르면 이 공격은 악성링크 삽입을 통해 다른 취약한 페이지로 이동하여 PHP 확장자로 위장된 실행 파일을 내려 받아 실행한다. 해당 악성파일은 인터넷 익스플로러 환경에서 키 입력을 가로채는 것으로 분석됐다.
공격자는 악성코드를 유포하기 전 2차에 걸쳐 테스트 코드를 작성했고, 3차례에 걸쳐 악성코드를 유포한 정황이 탐지됐다. 공격자는 이와 같이 테스트 코드를 작성하며 취약점을 파악하고, 대상을 선정한 뒤 공격 당일 오전에 실제 공격을 위한 준비를 마무리 했다. 해당 공격 코드를 통해 경유지 링크(악성 URI)로 연결하여 악성코드를 내려 받았다.
이 공격은 타깃 사용자가 자주 방문하는 사이트에 악성링크를 숨겨두는 워터링홀과 드라이브 바이 다운로드 공격이 결합된 경태로, 액티브X 취약점을 이용한 공격이다.
빛스캔의 분석 결과 인터넷 익스플로러(IE)가 동작하면서 사용자 키 입력 정보를 가로채는 행위가 발견됐고, 이 정보는 공격자 서버로 전송하는 형태를 갖는다.
오승택 빛스캔 팀장은 “공격자가 웹 페이지를 악용하는 가장 큰 이유는 불특정 다수에게 악성코드를 대량으로 빠르게 확산 시킬 수 있기 때문이다. 이로 인해 웹 페이지를 방문하는 사용자들은 자신도 모르는 사이에 악성 스크립트가 동작, 악성 파일을 내려 받아 자동으로 실행하게 되며, 다양한 공격에 활용된다”고 설명했다.
저작권자 © 데이터넷 무단전재 및 재배포 금지