감염된 사이트는 악성코드 유포, 피싱 페이지 호스팅, 추가 공격
5천개 이상의 워드프레스(WordPress) 사이트가 새로운 악성코드 공격 캠페인의 표적이 되어 불법 관리자 계정 생성, 악성 플러그인 설치, 민감한 데이터 유출 등의 피해를 입었다.
이번 공격은 웹 보안 업체 사이드가 한 고객사의 사건 대응 과정에서 발견했다. 공격자들은 wp3[.]xyz라는 도메인을 이용해 감염된 사이트를 제어하고 데이터를 유출하고 있었다. 초기 감염 경로는 아직 밝혀지지 않았지만, 전체 공격 흐름은 매우 체계적이고 정교하게 설계된 것으로 분석됐다.
공격은 우선 wp3[.]xyz 도메인에서 로드된 스크립트를 통해 시작된다. 이 스크립트는 wpx_admin이라는 불법 관리자 계정을 생성하고, 공격자가 사전에 설정한 자격 증명을 활용해 사이트에 접근할 수 있도록 한다.
계정 생성 후에는 동일한 도메인에서 plugin.php라는 악성 플러그인을 다운로드하여 설치한다. 이 플러그인은 관리자 자격 증명과 로그 등 민감한 데이터를 수집하며, 공격자의 서버로 이를 전송한다. 특히, 데이터는 이미지 요청으로 위장하여 탐지 회피 기술을 사용하고 있는 것이 특징이다.
또한, 공격 과정에서 관리 계정 생성과 악성 플러그인 설치의 성공 여부를 확인하는 등의 검증 단계도 포함되어 있어 정교함을 보여준다.
이번 캠페인은 웹사이트 관리자와 사용자들에게 심각한 보안 위협을 초래한다. 관리자 자격 증명과 같은 민감한 데이터를 탈취함으로써 공격자들은 추가적인 악의적인 행위를 벌일 수 있는 발판을 마련할 수 있다. 또한, 감염된 사이트는 악성코드 유포, 피싱 페이지 호스팅, 추가 공격에 악용될 가능성이 크다.
사이드 측은 웹사이트 관리자들에게 다음과 같은 대응 조치를 즉시 취할 것을 권고했다.
-도메인 차단: 방화벽과 기타 보안 도구를 활용해 wp3[.]xyz 도메인에 대한 접근을 차단해야 한다. 이를 통해 악성코드가 제어 서버와 통신하는 것을 방지할 수 있다.
-계정 및 플러그인 점검: 관리자 계정을 포함해 모든 권한 계정을 검토해 wpx_admin과 같은 불법 계정을 찾아 삭제해야 한다. 또한 설치된 플러그인 목록을 점검해 plugin.php와 같은 악성 플러그인을 제거해야 한다.
-CSRF 보호 강화: 크로스사이트 요청 위조(CSRF) 공격을 방지하기 위해 고유 토큰을 생성하고, 서버에서 이를 검증하며 주기적으로 갱신하는 것이 필요하다.
-다중 인증 도입: 다중 인증(MFA)은 추가적인 보안 계층을 제공하며, 자격 증명이 탈취되더라도 계정을 보호할 수 있는 효과적인 방법이다.
보안 전문가들은 이번 캠페인이 정교하고 대규모라는 점을 우려하고 있다. 한 전문가는 “고정된 자격 증명을 활용하고 데이터 유출을 이미지 요청으로 위장하는 기술은 기존 탐지 시스템을 우회하려는 것으로 각별히 주의해야 한다”고 강조했다.
전문가들은 워드프레스 사용자들에게 사이트 핵심 파일과 플러그인을 항상 최신 상태로 유지하며, 웹 애플리케이션 방화벽(WAF)을 활용해 의심스러운 트래픽을 차단할 것을 조언했다.
★정보보안 대표 미디어 데일리시큐 /Dailysecu, Korea's leading security media!★
