WordPress로 구성된 사이트를 새로운 취약점을 이용하여 XSS공격을 수행하고 의도하지 않은 광고를 표시하고 방문자를 악성코드 유포지로 유도하는 캠페인이 발견되었다.
최근 WordPress 플러그인에서 발견된 취약점을 이용한 Malvertising 캠페인이 활발하게 이루어지고 있으므로 주의가 필요하다.
첫 번째 공격은 Coming Soon Page & Maintenance mode 플러그인 취약점으로 해당 플러그인 1.7.8버전 이하에서 동작하는 취약점이다. 해당 취약점은 플러그인 매개변수에 Javascript 기반의 페이로드를 업로드하는 것이 가능하게 하며, 이렇게 업로드된 Javascript들은 사이트 방문자를 제3의 사이트로 이동시켜 추가 악성코드를 실행하게 만든다.
방문자가 제3의 사이트로 이동하게 되면, 해당 사이트의 코드는 HTTP Request Header의 User-Agent값에 따라 방문자를 최종유포지의 URL로 강제로 이동시킨다. 최종 유포지는 공격자가 설정한 내용에 따라 다르게 이동하게 되며, 일부는 사용자를 불법적인 약물이나 음란물이 있는 광고로 유도되거나 사용자의 브라우저에 직접적인 악성행위를 수행하는 악성코드 유포지로 유도한다. 또한 공격자는 쿠키값을 통해 방문자의 재방문 여부도 확인한다.
위의 캠페인 이전에도 공격자들은 다수의 취약점을 악용하여 공격을 수행한 것으로 확인되었다. 특히, 공격자들은 Yellow Pencil Visual CSS Style Editor의 임의 옵션 업데이트 취약점 및 Blog Designer의 XSS 취약점을 통해 새로운 관리자 권한을 등록하고 이를 통해 웹사이트를 장악하여 왔다.
하지만 공격자들은 해당 웹사이트 전체를 장악하지 않고 Malvertising 캠페인만 수행한 것으로 추정된다. 공격자가 수행한 XSS Injection은 호스팅 제공업체와 관련된 IP 주소로 전송되었다. 다수의 사이트를 호스팅하는 IP에서 프록시를 통해 XSS공격을 전달한 것으로 추정되며, 감염된 사이트에서는 해당 기능을 수행할 수 있는 PHP 쉘이 확인되었다.
현재까지 발견된 대부분의 XSS 공격은 많이 사용되고 있는 호스팅의 IP 주소가 공격에 사용되고 있다. 관련된 자세한 정보 및 IOC는 Wordfence의 해당 이슈 관련 페이지에서 확인 가능하다.
[참고]
보안관제센터 MIR Team