[주의] 한국 맞춤형 파밍 실시간-바카라사이트 KRBanker, 국내 웹 해킹으로 전격 귀환
국내 유명 사이버 학습원에서 CK VIP Exploit을 통한 KRBanker 실시간-바카라사이트 유포가 확인되어 주의를 당부 드립니다.
실시간-바카라사이트가 유포되는 사이트는 정상적인 스크립트 파일 내부에 악성 스크립트를 삽입하여 악성 URL로 연결 시키고 있습니다.
[그림 1] 해당 사이트에 삽입 된 실시간-바카라사이트 스크립트 코드 화면
취약한 윈도우 및 소프트웨어를 사용 중인 사용자가 해당 사이트를 방문 할 경우 Drive By Download 기법에 의해 악성코드가 다운로드 및 실행 될 수 있습니다.
이스트시큐리티 악성코드 위협 대응 솔루션 Threat Inside(쓰렛인사이드)에 분석 된 데이터에 의하면 2018년 10월 19일 09시에 해당 사이트에서 최초 악성코드가 발견 되었으며, CK VIP(KaiXin) 익스플로잇 킷 공격도구로 만들어진 사이트로 확인이 되었습니다.
또한 이 사이트에는 CVE-2018-8174, CVE-2016-0189 VB스크립트 취약점, CVE-2016-7201 엣지 브라우저 취약점 등을 포함하여 총 7가지 취약점 공격실시간-바카라사이트 이루어져 있습니다.
ThreatInside에서는 해당 사이트에서 사용 된 CK VIP(KaiXin) 익스플로잇 킷을 상세 분석하여 사용 된 취약점 리스트를 볼 수 있습니다.
[그림 2] CK VIP(KaiXin) 익스플로잇 분석 흐름도 이미지
hxxp://www.w-****.***/a*****/upload/1/index.html
hxxp://www.w-****.***/a*****/upload/1/VsMxNq.html
hxxp://www.w-****.***/a*****/upload/1/YvDvDt.jar
hxxp://www.w-****.***/a*****/upload/1/RqSjUp.html
hxxp://www.w-****.***/a*****/upload/1/Long.js
hxxp://www.w-****.***/a*****/upload/1/jquery.js
hxxp://www.w-****.***/a*****/upload/1/ByFbWu.html
hxxp://www.w-****.***/a*****/upload/1/RaHdAs.jar
hxxp://www.w-****.***/a*****/upload/1/LvWzRo.html
hxxp://www.w-****.***/a*****/upload/1/swfobject.js
hxxp://www.w-****.***/a*****/upload/1/deconcept.SWF
hxxp://www.w-****.***/a*****/upload/1/expressinstall.swf
hxxp://www.w-****.***/a*****/upload/1/ww.html
hxxp://www.w-****.***/a*****/upload/1/ww.js
hxxp://www.w-****.***/a*****/upload/1/ww.swf
hxxp://www.w-****.***/a*****/upload/1/ww.doc
hxxp://www.w-****.***/a*****/upload/1/bin_do.swf
hxxp://www.w-****.***/a*****/upload/1/license.swf
hxxp://www.w-****.***/a*****/upload/1/logo.swf
hxxp://www.w-****.***/a*****/upload/1/deep_do.swf
hxxp://www.w-****.***/a*****/upload/1/cam_do.swf
hxxp://www.w-****.***/a*****/upload/1/VlJqSs.jar
hxxp://w-****.***/a*****/upload/1/kk.exe
(현재 유포가 진행 중이라 일부 *로 대체)
hxxp://w-dana.com/admode/upload/1/kk[.]exe
hxxp://www.selffund.co.kr/upload/se[.]exe
hxxp://kgfarmmall.co.kr/data/sample/kk[.]exe
취약한 사용자가 접속 할 경우 다운로드 및 실행되는 악성코드는 흔히 알려진 hosts파일 변조를 통한 파밍 방법과는 달리 로컬에 프락시 서버를 구축하여 C&C로 웹페이지를 포워딩 하는 방식을 사용하고 있습니다.
[그림 3] 감염 된 시스템에서 보여지는 파밍 사이트 화면
[그림 4] 로컬 프록시 서버를 이용한 파밍 방식
이번에 발견 된 것과 같이 Drive By Download 통한 KRBanker 실시간-바카라사이트는 2016년 까지 성행하였지만 2017년부터 최근까지 공격자 그룹이 모습을 감춘 실시간-바카라사이트입니다.
[그림 5] KRBanker 실시간-바카라사이트 타임스탬프 이미지
위의 그림과 같이 해당 실시간-바카라사이트가 금일을 기점으로 다시 유포를 시작한다는 점에 주의를 기울여야 하며, 이러한 실시간-바카라사이트에 감염되지 않기 위해서는 윈도우 보안 업데이트를 포함한 각종 어플리케이션 업데이트를 항상 최신으로 유지하는 보안 습관을 준수하시길 당부 드립니다.
통합 백신 ‘알약’에서는 관련 실시간-바카라사이트를 ‘Spyware.실시간-바카라사이트.Gen’ 실시간-바카라사이트 진단하고 있습니다.