상세 컨텐츠

본문 제목

대규모 멀버타이징 캠페인, 일주일에 4만 건 감염 시도 해

국내외 보안동향

by 알약(Alyac) 2018. 7. 31. 18:07

본문

Massive Malvertising Campaign Discovered Attempting 40,000 Infections per Week


보안 회사인 Check Point가 대규모 멀버타이징(악성 광고) 캠페인에 대해 공개했습니다.


연구원들은 이 멀버타이징 캠페인의 운영자들이 그들의 훔친 트래픽을 선택 된 공격자에게 전달시키고 피해자들을 랜섬웨어, 뱅킹 악성코드 등에 감염시키기 위한 기술 지원 사기나 익스플로잇 키트로 이동시키기 위해 광고 네트워크 및 광고 리셀러들과 결탁한 것으로 보인다고 밝혔습니다.


Check Point는 이 복잡한 책략의 이름을 캠페인 전반의 운영 계획 내 중앙 서버의 URL에서 따온 Master134라 명명했습니다.



Master134 네트워크, 해킹 된 워드프레스 사이트들로부터 트래픽 훔쳐


Check Point의 보고서에 따르면, Master134는 워드프레스의 사이트를 탈취하는 것으로 시작됩니다. 연구원들은 이 그룹이 손상 시킨 워드프레스 사이트 10,000개 이상을 발견했다고 밝혔습니다.


연구원들은 해킹 된 모든 워드프레스 사이트들이 공격자들이 사이트를 탈취하도록 허용하는 원격 코드 실행 취약점이 존재하는 WordPress CMS 버전 4.7.1을 실행 중이었다고 밝혔습니다.


공격자들은 이 사이트들에 광고 주입을 위한 코드를 삽입했습니다. 이는 사용자들을 Master134의 메인 “리디렉션” 서비스로 이동시켰습니다.


게다가 이 그룹은 브라우저 홈페이지 하이재커 등 사용자들이 원치 않는 프로그램들을 설치해 그들을 Master134 리디렉션 포털로 이동시켰습니다.



광고 네트워크 및 리셀러를 통한 트래픽 유입 방법


이후 Master134 서비스의 역할은 그들의 웹사이트에 사용 가능한 광고 슬롯을 가진 사이트 주인들이 사용할 수 있는 “퍼블리셔”의 계정으로 AdsTerra 광고 네트워크의 “광고 슬롯”을 홍보하는 것이었습니다.


연구원들은 이 광고 슬롯들이 이후 AdKernel, AdventureFeeds, EvoLeads, ExoClick 4 곳의 광고 리셀러들 중 하나에 팔렸다고 말했습니다.


이러한 엄청난 “우연의 일치”로 인해, 다양한 공격자들이 이 리셀러들을 통해 Master134의 광고 슬롯을 구매하고 하이잭 된 트래픽을 캡쳐해 악성코드로 유인하는데 사용할 수 있게 됩니다.


연구원들은 거의 모든 주요 온라인 범죄 그룹들이 "AdsTerra 리셀러”를 통해 Master134의 트래픽을 구매한 것으로 나타났다고 밝혔습니다. 이 그룹들에는 익스플로잇 키트 운영자 (RIG, Magnitude, GrandSoft, FakeFlash), 트래픽 배포 시스템 (Fobos, HookAds, Seamless, BowMan, TorchLie, BlackTDS, Slyip) 및 많은 기술 지원 사기 운영자들이 포함 되었습니다.



우연이 아닌 음모로 의심 돼


연구원들은 공격자들이 Master134로부터 하이잭 된 트래픽을 구매하는 이 모든 상황이 단지 우연이라고는 생각하고 있지 않습니다. 


“이유는 알 수 없지만, 여러 악성 그룹들과의 대규모 콜라보는 써드파티 광고 네트워크(AdsTerra가 가장 큰 비중을 차지함)를 통해 성공적으로 운영되고 있습니다.”


“연구 결과, 우리는 공격자들이 Master134측에 직접 비용을 지불한다고 추측했습니다. 이후 Master134가 광고 네트워크 회사에 비용을 지불해 트래픽을 리라우팅하고, 아마도 트래픽의 출처를 위장할 수 있게 됩니다.”


“이러한 시나리오에서, Master134는 사이버 범죄 세계에서 독특한 역할을 수행합니다. 그들은 AdsTerra와 직접적으로 일하며 광고 수익을 창출하고, AdsTerra는 이 트래픽이 정확한 목표, 이 경우에는 공격자들에게 성공적으로 전달될 수 있도록 합니다.”


연구원들은 이 멀버타이징 캠페인은 아직까지 진행 중이며, 일주일에 약 40,000건의 감염 시도가 발생한다고 밝혔습니다.





출처 : 

https://www.bleepingcomputer.com/news/security/massive-malvertising-campaign-discovered-attempting-40-000-infections-per-week/

https://research.checkpoint.com/malvertising-campaign-based-secrets-lies/



저작자표시

'국내외 보안동향' 카테고리의 다른 글

미국 정부기관, 악성코드가 포함된 CD를 우편물 수신해  (0) 2018.08.02
SamSam 랜섬웨어 운영자들, 약 $600만 달러 랜섬머니 벌어들여  (0) 2018.08.01
Underminer 익스플로잇 키트, Bootkit과 CoinMiner 배포 중  (0) 2018.07.31
NetSpectre – 네트워크를 통해 데이터를 훔치는 새로운 원격 Spectre 공격  (0) 2018.07.30
거대 해운 회사인 COSCO 랜섬웨어 감염, COSCO 미국 네트워크 무력화 돼  (0) 2018.07.30

관련글 더보기

댓글 영역

티스토리툴바