[주의] 한국 맞춤형 파밍 betman 토토 KRBanker, 국내 웹 해킹으로 전격 귀환
국내 유명 사이버 학습원에서 CK VIP Exploit을 통한 KRBanker betman 토토 유포가 확인되어 주의를 당부 드립니다.
betman 토토가 유포되는 사이트는 정상적인 스크립트 파일 내부에 악성 스크립트를 삽입하여 악성 URL로 연결 시키고 있습니다.
[그림 1] 해당 사이트에 삽입 된 betman 토토 스크립트 코드 화면
취약한 윈도우 및 소프트웨어를 사용 중인 사용자가 해당 사이트를 방문 할 경우 Drive By Download 기법에 의해 악성코드가 다운로드 및 실행 될 수 있습니다.
이스트시큐리티 betman 토토 위협 대응 솔루션 Threat Inside(쓰렛인사이드)에 분석 된 데이터에 의하면 2018년 10월 19일 09시에 해당 사이트에서 최초 betman 토토가 발견 되었으며, CK VIP(KaiXin) 익스플로잇 킷 공격도구로 만들어진 사이트로 확인이 되었습니다.
또한 이 사이트에는 CVE-2018-8174, CVE-2016-0189 VB스크립트 취약점, CVE-2016-7201 엣지 브라우저 취약점 등을 포함하여 총 7가지 취약점 공격betman 토토 이루어져 있습니다.
ThreatInside에서는 해당 사이트에서 사용 된 CK VIP(KaiXin) 익스플로잇 킷을 상세 분석하여 사용 된 취약점 리스트를 볼 수 있습니다.
[그림 2] CK VIP(KaiXin) 익스플로잇 분석 흐름도 이미지
betman 토토://www.w-****.***/a*****/upload/1/index.html
betman 토토://www.w-****.***/a*****/upload/1/VsMxNq.html
betman 토토://www.w-****.***/a*****/upload/1/YvDvDt.jar
betman 토토://www.w-****.***/a*****/upload/1/RqSjUp.html
betman 토토://www.w-****.***/a*****/upload/1/Long.js
betman 토토://www.w-****.***/a*****/upload/1/jquery.js
betman 토토://www.w-****.***/a*****/upload/1/ByFbWu.html
betman 토토://www.w-****.***/a*****/upload/1/RaHdAs.jar
betman 토토://www.w-****.***/a*****/upload/1/LvWzRo.html
betman 토토://www.w-****.***/a*****/upload/1/swfobject.js
betman 토토://www.w-****.***/a*****/upload/1/deconcept.SWF
betman 토토://www.w-****.***/a*****/upload/1/expressinstall.swf
betman 토토://www.w-****.***/a*****/upload/1/ww.html
betman 토토://www.w-****.***/a*****/upload/1/ww.js
betman 토토://www.w-****.***/a*****/upload/1/ww.swf
betman 토토://www.w-****.***/a*****/upload/1/ww.doc
betman 토토://www.w-****.***/a*****/upload/1/bin_do.swf
betman 토토://www.w-****.***/a*****/upload/1/license.swf
betman 토토://www.w-****.***/a*****/upload/1/logo.swf
betman 토토://www.w-****.***/a*****/upload/1/deep_do.swf
betman 토토://www.w-****.***/a*****/upload/1/cam_do.swf
betman 토토://www.w-****.***/a*****/upload/1/VlJqSs.jar
betman 토토://w-****.***/a*****/upload/1/kk.exe
(현재 유포가 진행 중이라 일부 *로 대체)
betman 토토://w-dana.com/admode/upload/1/kk[.]exe
hxxp://www.selffund.co.betman 토토/upload/se[.]exe
hxxp://kgfarmmall.co.betman 토토/data/sample/kk[.]exe
취약한 사용자가 접속 할 경우 다운로드 및 실행되는 악성코드는 흔히 알려진 hosts파일 변조를 통한 파밍 방법과는 달리 로컬에 프락시 서버를 구축하여 C&C로 웹페이지를 포워딩 하는 방식을 사용하고 있습니다.
[그림 3] 감염 된 시스템에서 보여지는 betman 토토 사이트 화면
[그림 4] 로컬 프록시 서버를 이용한 betman 토토 방식
이번에 발견 된 것과 같이 Drive By Download 통한 KRBanker betman 토토는 2016년 까지 성행하였지만 2017년부터 최근까지 공격자 그룹이 모습을 감춘 betman 토토입니다.
[그림 5] KRBanker betman 토토 타임스탬프 이미지
위의 그림과 같이 해당 betman 토토가 금일을 기점으로 다시 유포를 시작한다는 점에 주의를 기울여야 하며, 이러한 betman 토토에 감염되지 않기 위해서는 윈도우 보안 업데이트를 포함한 각종 어플리케이션 업데이트를 항상 최신으로 유지하는 보안 습관을 준수하시길 당부 드립니다.
통합 백신 ‘알약’에서는 관련 betman 토토를 ‘Spyware.betman 토토.Gen’ betman 토토 진단하고 있습니다.