F5 BIG-IP 제품 취약점 업데이트 사칭 해킹 공격…와이퍼 멀웨어 확산 주의

최근 이스라엘 국가사이버국(NCD)은 F5네트웍스 제품 사용자를 노리는 정교한 사이버 공격에 대한 긴급 경고를 발표했다. 한국 사용자들도 각별한 주의를 기울여야 한다.

공격자들은 10월 말에 공개된 F5 BIG-IP의 심각한 인증 우회 취약점을 이용하고 있다. 이 표적 공격은 F5네트웍스를 사칭한 사기성 이메일 캠페인을 통해 위험한 와이퍼 멀웨어를 유포하고 있다.

공격자는 피싱 공격을 통해 F5네트웍스를 사칭해 수신자에게 확인된 취약점에 대한 중요한 업데이트를 안내한다. "cert@f5.support"에서 전송된 피싱 이메일에는 F5 취약점에 대한 보안 패치라고 주장하는 "update.zip"이라는 첨부 파일이 포함되어 있다. 하지만 첨부 파일에는 정상적인 업데이트가 아니라 서버 콘텐츠를 삭제하도록 설계된 와이퍼 멀웨어가 숨겨져 있다.

F5네트웍스는 이 취약점을 해결하기 위해 BIG-IP 시스템에서 특정 셸 스크립트 파일을 다운로드해 실행할 것을 권고했다. 공격자들은 이 지침을 악용해 사용자가 무의식적으로 악성 페이로드를 실행하도록 조작해 F5 서버의 보안을 더욱 취약하게 만든다.

각 공격은 악성코드의 각 인스턴스에 대해 고유한 파일 식별자를 사용해 개별 피해자에게 맞춤화했다. 또 악성 페이로드를 다운로드하는 데 사용되는 URL도 피해자마다 다르다. 이러한 정교함 때문에 보안부서에서 위협 식별이 어려워지게 된다.

그나마 다행스러운 것은 와이퍼 멀웨어는 일단 실행되면 한 서버에서 다른 서버로 측면 이동이 불가능한 것으로 알려졌다.

현재로서는 이 사이버 공격이 얼마나 많은 인스턴스에서 탐지되었는지는 불분명하며, 구체적인 표적은 공개되지 않았다. 공격의 범위에 관한 정보가 부족하기 때문에 불확실성이 가중되고 있다.

F5네트웍스 사용자들은 보안 업데이트를 제공한다고 주장하는 원치 않는 이메일을 받을 때 각별히 주의해야 한다.

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★