Home > 전체기사

멀버타이징 타고 다시 나타난 RIG, 이번엔 3.0 버전

  |  입력 : 2015-08-04 16:45
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

멀버타이징과 결합돼 사용되는 예가 가장 많아

공격의 초기단계에 빈번하게 사용, 하루 2만 7천여 명 피해


[보안뉴스 문가용] RIG 크라임웨어 킷이 업그레이드되어 나타났다. 그리고 하루에 평균 2만 7천여 명의 사용자들을 감염시키고 있다. 여기에는 해킹팀 사건으로 드러난 익스플로잇 및 취약점도 연루되어 있다.

 

▲ 저기 새로운 취약점이 있다! 달려!


트러스트웨이브(Trustwave)의 연구원들은 오늘 보고서를 통해 RIG 3.0의 급증 현상을 알려왔다. 올해 초 암시장 판매자 중 한 명이 불만을 품고 악의적으로 RIG 2.0의 소스코드를 전부 온라인에 공개하면서 운명이 다 했나 싶었으나 새로운 기능을 덧입어 영향력을 떨치고 있는 것이다. 이미 트러스트웨이브가 RIG 3.0을 추적해 온 건 6주. 그 기간 동안 트러스트웨이브 측은 RIG 3.0이 어떤 식으로 공격을 하는지, 어떻게 1백 25만 명의 사용자들을 감염시켰는지 관찰했다. “공격의 대부분은 멀버타이징 형태를 뗬습니다.”


트러스트웨이브의 수석 연구원인 아르세니 레빈(Arseny Levin)은 멀머타이징 공격 준비를 다 갖춘 악성 사이트를 방문한 사람들이 대충 3백 5십만 명은 된다고 말하며, 그중 1백 25만 명이 감염된 것이고, 감염된 사람의 90%가 멀버타이징을 통해 감염되었다고 한다. “RIG 3.0 킷은 보통 최초 공격을 감행하는 단계에서 사용되었으며, 크게 세 가지 익스플로잇을 사용한다고 보면 됩니다. 이 중에서는 해킹팀 사건으로 드러난 플래시 제로데이 취약점도 있습니다. 그러니까 이번 사건으로 공개된 취약점을 해커들이 얼마나 빠르게 악용하는지도 볼 수 있었습니다.”


멀버타이징은 현재 해커들에게 가장 각광받는 방법 중 하나다. 리스크아이큐(RiskIQ)라는 업체에서 발간한 보고서에 의하면 멀버타이징은 올 상반기 동안 260%나 증가했다고 한다. 특히 가짜 플래시 업데이트를 악용한 멀버타이징 공격이 성행했다고 하는데, 이는 RIG 3.0의 최근 급증 현상과 무관하지 않은 것으로 보인다. 다만 리스크아이큐에 의하면 아직까지 멀버타이징에 가장 빈번하게 활용되는 건 RIG와 같은 익스플로잇 킷이 아니라 가짜 소프트웨어 업데이트라고 하니, RIG 3.0의 급부상과 멀버타이징을 하나의 현상으로 보는 건 무리가 있다.


트러스트웨이브는 RIG 3.0으로 인한 악성 광고가 내걸린 웹 사이트를 적어도 3천 개 이상 찾아냈다고 한다. 또한 해킹팀 사건으로 드러난 플래시 제로데이뿐 아니라 윈도우 OLE 자동 어레이(Automation Array)의 취약점(CVE-2014-6332)과 VML 공격(CVE-2013-2551)이 활용되는 예도 있었다. 이 둘은 인터넷 익스플로러의 취약점이다.


RIG 3.0으로 오염된 광고들은 위에서 언급했다시피 ‘초기 공격’을 위한 발판으로서 많이 활용되었다. “그래서 저희가 발견한 멀버타이징 공격에는 다양한 멀웨어들이 사용되었습니다. RIG 3.0으로 뚫고 들어가 공격자들의 목적이나 입맛에 잘 맞는 멀웨어를 피해자의 시스템에 심어놓았다는 것이죠.” 피해자들은 최신 패치를 하지 않은 채 인터넷 익스플로러를 사용하고 있는 브라질인 45만 명, 베트남인 30만 명, 터키인 8만 2천 명, 인도인 6만 2천 명, 미국인 4만 6천 명인 것으로 드러났다.


멀버타이징 외 감염 경로로는 ‘이미 감염된 시스템을 사용한 경우’, ‘감염된 웹 사이트를 방문한 경우’ 등이 있었다고 한다.

Copyrighted 2015. UBM-Tech. 117153:0515BC

[국제부 문가용 기자(globoan@boannews.com)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>

  •  
  • 1
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
아이티스테이션 파워비즈모니터랩 파워비즈 6개월 2021년7월1~12월31일 까지엔사인 파워비즈 2021년6월1일~11월30일 까지2021 전망보고서위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
2021년 상반기 발생했던 보안 사건 가운데 가장 파급력이 컸던 이슈는 무엇이라고 보시나요?
솔라윈즈 사건
콜로니얼 파이프라인 사건
카세야 사건
익스체인지 서버 취약점 사건
원자력연구원/KAI 해킹 사건
국내 대기업 주요 정보 다크웹 유출 사건
기타(댓글로)