특정 홈페이지 제작 업체가 제작한 국내 다수의 홈페이지 피해 확인
Contents
AhnLab Security Emergency response Center(ASEC)에서는 국내 홈페이지 제작업체가 제작한 홈페이지를 타겟으로 공격하여 악성코드 유포에 활용하는 정황이 확인되었다. 특정 홈페이지 제작업체는 제조, 무역, 전기, 전자, 교육, 건설, 의료, 여행 등의 다양한 회사를 대상으로 홈페이지를 제작한 업체다.
침해당한 홈페이지는 악성코드 유포에 활용되며, 웹쉘을 통해 탈취한 정보를 전송하는 등의 기능을 수행한다. 해당 공격 방식의 최초 유포는 ASEC 블로그를 통해 게시한 내용처럼 메일의 첨부파일로 이루어진 것으로 확인된다. 감염된 시스템에는 작업 스케줄러에 등록되어 지속적으로 침해가 이루어 진다.
감염된 경우 작업 스케줄러에 등록된 명령어 처럼 정상 프로세스인 mshta를 통해 웹쉘로 접속하게 되며, 공격자는 이를 이용하여 피해자 PC를 원격제어 하는 방식이다. 원격 제어를 위한 웹쉘의 주소도 미리 침해한 정상 홈페이지 주소를 사용해 피해자는 감염사실을 인지하기 어렵다. 이러한 공격 방식에 사용된 도메인은 모두 위에서 언급한 특정 국내 홈페이지 제작업체가 제작한 것으로 확인했으며, 모두 외부에서 접근 가능한 admin 페이지가 동일한 경로에 존재 했다. 공격자는 해당 페이지를 통해 악성파일을 업로드 한 것으로 추정된디.
과거 기업/기관 홈페이지에 추가된 광고 배너 내부 스크립트를 통해 악성코드 …
침해당한 홈페이지는 악성코드 유포에 활용되며, 웹쉘을 통해 탈취한 정보를 전송하는 등의 기능을 수행한다. 해당 공격 방식의 최초 유포는 ASEC 블로그를 통해 게시한 내용처럼 메일의 첨부파일로 이루어진 것으로 확인된다. 감염된 시스템에는 작업 스케줄러에 등록되어 지속적으로 침해가 이루어 진다.
감염된 경우 작업 스케줄러에 등록된 명령어 처럼 정상 프로세스인 mshta를 통해 웹쉘로 접속하게 되며, 공격자는 이를 이용하여 피해자 PC를 원격제어 하는 방식이다. 원격 제어를 위한 웹쉘의 주소도 미리 침해한 정상 홈페이지 주소를 사용해 피해자는 감염사실을 인지하기 어렵다. 이러한 공격 방식에 사용된 도메인은 모두 위에서 언급한 특정 국내 홈페이지 제작업체가 제작한 것으로 확인했으며, 모두 외부에서 접근 가능한 admin 페이지가 동일한 경로에 존재 했다. 공격자는 해당 페이지를 통해 악성파일을 업로드 한 것으로 추정된디.
과거 기업/기관 홈페이지에 추가된 광고 배너 내부 스크립트를 통해 악성코드 …