[아이뉴스24 성지은기자] 북한 관련 전문기관 웹 페이지에서 액티브X 취약점을 이용한 드라이브 바이 다운로드(Drive-by-download) 공격이 발생한 것으로 확인됐다.
빛스캔은 29일 악성링크를 삽입해 다른 취약 페이지로 이동하고 PHP 확장자로 위장한 실행파일을 자동으로 내려받아 실행하는 공격이 발견됐다고 설명했다.
빛스캔에 따르면, 공격자는 해당 공격 코드를 통해 경유지 링크로 연결하고 악성코드를 내려받았다. 이 공격은 타깃 사용자가 자주 방문하는 사이트에 악성링크를 숨겨두는 공격(워터링홀)과 드라이브 바이 다운로드 공격이 결합된 형태로, 액티브X 취약점을 이용했다.
드라이브 바이 다운로드는 소프트웨어(SW) 취약점 보안 패치가 되지 않은 PC에서 공격자가 미리 제작·해킹한 웹사이트를 방문하면, 자동으로 악성코드에 감염되는 방식이다.
빛스캔의 분석 결과, 해당 악성파일은 인터넷 익스플로러(IE) 환경에서 키 입력을 가로채는 것으로 분석됐다. 정보는 공격자 서버로 전송된다.
오승택 빛스캔 팀장은 "공격자가 웹 페이지를 악용하는 가장 큰 이유는 불특정 다수에게 악성코드를 대량으로 빠르게 확산 시킬 수 있기 때문"이라며 "웹 페이지를 방문하는 사용자는 자신도 모르는 사이 악성파일을 내려받아 이에 감염될 수 있다"고 설명했다.
성지은기자 [email protected]
--comment--
첫 번째 댓글을 작성해 보세요.
댓글 바로가기