멀버타이징 타고 다시 나타난 RIG, 이번엔 3.0 버전

멀버타이징과 결합돼 사용되는 예가 가장 많아

공격의 초기단계에 빈번하게 사용, 하루 2만 7천여 명 피해

[보안뉴스 문가용] RIG 크라임웨어 킷이 업그레이드되어 나타났다. 그리고 하루에 평균 2만 7천여 명의 사용자들을 감염시키고 있다. 여기에는 해킹팀 사건으로 드러난 익스플로잇 및 취약점도 연루되어 있다.

트러스트웨이브(Trustwave)의 연구원들은 오늘 보고서를 통해 RIG 3.0의 급증 현상을 알려왔다. 올해 초 암시장 판매자 중 한 명이 불만을 품고 악의적으로 RIG 2.0의 소스코드를 전부 온라인에 공개하면서 운명이 다 했나 싶었으나 새로운 기능을 덧입어 영향력을 떨치고 있는 것이다. 이미 트러스트웨이브가 RIG 3.0을 추적해 온 건 6주. 그 기간 동안 트러스트웨이브 측은 RIG 3.0이 어떤 식으로 공격을 하는지, 어떻게 1백 25만 명의 사용자들을 감염시켰는지 관찰했다. “공격의 대부분은 멀버타이징 형태를 뗬습니다.”

트러스트웨이브의 수석 연구원인 아르세니 레빈(Arseny Levin)은 멀머타이징 공격 준비를 다 갖춘 악성 사이트를 방문한 사람들이 대충 3백 5십만 명은 된다고 말하며, 그중 1백 25만 명이 감염된 것이고, 감염된 사람의 90%가 멀버타이징을 통해 감염되었다고 한다. “RIG 3.0 킷은 보통 최초 공격을 감행하는 단계에서 사용되었으며, 크게 세 가지 익스플로잇을 사용한다고 보면 됩니다. 이 중에서는 해킹팀 사건으로 드러난 플래시 제로데이 취약점도 있습니다. 그러니까 이번 사건으로 공개된 취약점을 해커들이 얼마나 빠르게 악용하는지도 볼 수 있었습니다.”

멀버타이징은 현재 해커들에게 가장 각광받는 방법 중 하나다. 리스크아이큐(RiskIQ)라는 업체에서 발간한 보고서에 의하면 멀버타이징은 올 상반기 동안 260%나 증가했다고 한다. 특히 가짜 플래시 업데이트를 악용한 멀버타이징 공격이 성행했다고 하는데, 이는 RIG 3.0의 최근 급증 현상과 무관하지 않은 것으로 보인다. 다만 리스크아이큐에 의하면 아직까지 멀버타이징에 가장 빈번하게 활용되는 건 RIG와 같은 익스플로잇 킷이 아니라 가짜 소프트웨어 업데이트라고 하니, RIG 3.0의 급부상과 멀버타이징을 하나의 현상으로 보는 건 무리가 있다.

트러스트웨이브는 RIG 3.0으로 인한 악성 광고가 내걸린 웹 사이트를 적어도 3천 개 이상 찾아냈다고 한다. 또한 해킹팀 사건으로 드러난 플래시 제로데이뿐 아니라 윈도우 OLE 자동 어레이(Automation Array)의 취약점(CVE-2014-6332)과 VML 공격(CVE-2013-2551)이 활용되는 예도 있었다. 이 둘은 인터넷 익스플로러의 취약점이다.

RIG 3.0으로 오염된 광고들은 위에서 언급했다시피 ‘초기 공격’을 위한 발판으로서 많이 활용되었다. “그래서 저희가 발견한 멀버타이징 공격에는 다양한 멀웨어들이 사용되었습니다. RIG 3.0으로 뚫고 들어가 공격자들의 목적이나 입맛에 잘 맞는 멀웨어를 피해자의 시스템에 심어놓았다는 것이죠.” 피해자들은 최신 패치를 하지 않은 채 인터넷 익스플로러를 사용하고 있는 브라질인 45만 명, 베트남인 30만 명, 터키인 8만 2천 명, 인도인 6만 2천 명, 미국인 4만 6천 명인 것으로 드러났다.

멀버타이징 외 감염 경로로는 ‘이미 감염된 시스템을 사용한 경우’, ‘감염된 웹 사이트를 방문한 경우’ 등이 있었다고 한다.

Copyrighted 2015. UBM-Tech. 117153:0515BC

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>

• “
•  SNS에서도 보안뉴스를 받아보세요!! 
• ”

• 조회순
• 추천순
• 스크랩순

• 1

  깃허브와 깃랩 사용하면 사실상 대처법이 전무...

• 2

  ‘K-시큐리티’ 미국 상륙작전! 한국 보안기...

• 3

  북한 IT 인력, 미국 애니메이션 프로젝트 ...

• 4

  VPN 겨냥한 비밀번호 분사 공격 유행하고 ...

• 5

  [보안 상장기업 주간 주가동향] 증시 악재 ...

• 1

  사이버 보안 전문가 자격을 나라에서 직접 주...

• 2

  VPN 겨냥한 비밀번호 분사 공격 유행하고 ...

• 3

  EvilQueen 해커조직, 온라인 쇼핑몰 ...

• 4

  인공지능의 자원 소모 문제, 이제는 직시해야...

• 5

  중소기업 주목! 네트워크 장비 보안 점검 방...

• 1

  집 앞에 우편물 도착안내서가? 신종 보이스피...

• 2

  국가정보원, 국정원장 사칭 이메일 유포 주의...

• 3

  에스원, 출력물보안 서비스로 인쇄 출력물 통...