Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향[2018년 6월 1일] 주요 보안 이슈
작성일 2018-06-01 조회 994

1. [기사] 美 CERT, 북한 APT 공격그룹 '히든 코브라'의 2개 악성코드에 대해 주의 경보
[http://www.dailysecu.com/?mod=news&act=articleView&idxno=34871]
미 국토안보부와 FBI가 '히든 코브라(Hidden Cobra)'로 불리는 북한 관련 APT 그룹과 연관된 2가지 멀웨어, 'Joanap' 백도어 트로이목마와 'Brambul' SMB(서버 메시지 블록) 웜에 대한 공동 기술 경고를 발표했습니다. Joanap으로 알려진 첫번째 위협은 봇넷을 관리하고 데이터 유출, 추가 페이로드 설치, 프록시 통신 설정과 같은 악성 활동을 수행하기 위해 peer-to-peer 통신을 사용하는 2단계 RAT입니다. Joanap을 통해 Hidden Cobra 그룹은 손상된 윈도우 장치에서 데이터를 유출시키고, 2차 페이로드를 삭제 및 실행하거나 프록시 통신을 초기화하는 등의 행위가 가능합니다. 두번째 멀웨어인 Brambul은 윈도우 32비트 SMB 웜입니다. Brambul은 서비스 동적 링크 라이브러리 파일로 사용되거나, 드롭퍼 멀웨어에 의해 타깃 네트워크에 설치되는 휴대용 실행 파일로 사용됩니다. 실행시 멀웨어는 사용자의 시스템에 접속하고 로컬 서브넷에 있는 IP 주소들에 연결을 시도합니다. 접속에 성공할 경우 애플리케이션은 SMB 프로토콜(포트 139와 445)을 통해 인가되지 않은 접근을 시도합니다. 추가로 멀웨어는 추가 공격을 위한 랜덤 IP 주소를 생성합니다.

 

2. [기사] RIG Exploit Kit의 Windows 'Double Kill' 공격
[https://www.darkreading.com/analytics/windows-double-kill-attack-code-found-in-rig-exploit-kit/d/d-id/1331925]
3일 전 인터넷에 공개된 Double Kill 익스플로잇 코드가 Rig Exploit Kit과 ThreadKit에서 발견되었습니다. Double Kill은 최근에 패치된 CVE-2018-8174와 CVE-2018-8120 취약점과 관련된 익스플로잇 코드를 말합니다. CVE-2018-8174는 모든 버전의 Windows에 영향을 미치는 치명적인 취약점이며, Windows VBScript 엔진 원격 코드 실행 취약점입니다. 또한 CVE-2018-8120는 공격자가 시스템을 제어하거나 데이터 읽기, 쓰기를 할 수 있는 권한 상승 취약점입니다. RIG Exploit Kit은 악성 페이로드를 배포하는 데 가장 널리 사용되는 악용 키트입니다. Double Kill 익스플로잇 코드가 RIG EK에 내장되어 있기 때문에 CVE-2018-8174에 패치를 적용하지 않은 조직이 공격에 취약하다고 말합니다. 이 코드는 악성 오피스 문서를 만드는 데 사용할 수 있는 악용 도구인 ThreadKit에서도 볼 수 있습니다. 기술적 전문성이 거의 없는 사이버 범죄자가 쉽게 액세스 가능하며 Double Kill 익스플로잇 옵션은 온라인으로 400 달러에 구입할 수 있어 사이버 범죄에 대한 진입 장벽을 낮추고 있습니다.

 

3. [기사] 미국 주유소 5천여 곳의 주요 장비에서 취약점 발견
[http://www.boannews.com/media/view.asp?idx=70008&page=1&mkind=1&kind=1]
3년 전 미국의 주유소가 발칵 뒤집힌 일이 있었습니다. 자동 탱그 계량기(ATG) 약 5천 대가 비밀번호와 같은 기본적인 보호 장치 없이 공공 인터넷에 노출되어 있었던 것입니다. 3년이 지난 최근 다시 스캔을 해보니 5635대가 정확히 같은 문제를 겪고 있었습니다. 에너지 산업 내 기술 전문 기업인 보스턴베이스(BostonBase)의 CEO Jack Chadowitz는 “기존의 문제가 그대로 남아있을 뿐만 아니라 또 다른 취약점도 발견했다”고 말합니다. 문제가 발견된 곳은 Vedeer-Root TLS450 탱크 게이지로, 이는 PCI DSS 규정 위반과 이어질 수도 있다고 지적합니다. Chadowitz에 의하면 인터넷에 노출된 Vedeer-Root 장비를 가진 주유소의 경우 공격자들이 데이터에 접근 및 조작하는 게 가능하다고 합니다. 이를 통해 작게는 석유를 훔칠 수도 있고, 크게는 주유소 사보타주도 가능하다고 설명합니다. Chadowitz는 “특정 IP 주소로부터 들어오는 트래픽만 허용하도록 하기 위해 ATG 시스템 전면에 방화벽 라우터를 설치해야 한다”며, “그리고 VPN을 사용하는 것도 좋은 방법입니다.”고 권장합니다.

 

4. [기사] 미 국방부의 DTS에서 한 달 만에 60개 넘는 취약점 나와
[http://www.boannews.com/media/view.asp?idx=70010&mkind=1&kind=1]
미국 국방부가 최근 실시한 버그바운티에 참가한 보안 전문가들이 65개의 보안 취약점들을 디펜스 트래블 시스템(Defense Travel System, DTS)에서 발견했습니다. DTS는 전 세계에 파견 나가 있는 국방부 근무자들이 사용하고 있는 애플리케이션입니다. 버그바운티 플랫폼을 제공하는 해커원(HackerOne)에 의하면 국방부 버그바운티가 실시된 지 한 달도 되지 않아 DTS에서만 28개의 취약점들이 발견됐고, 그중 일부는 치명적인 위험도를 가졌다고 합니다. 최근 버그바운티 전문 플랫폼을 활용한 버그바운티 활용이 늘어나고 있습니다. 보안 취약점을 합법적으로 찾아내고 이를 통해 수익도 올리고 사회 공헌도 하려는 세계 곳곳의 전문가들이 가지고 있던 목마름을 해결해주고 있다는 평을 받고 있습니다. 또한 기업들은 내부 전문가를 두는 것보다 훨씬 저렴하게 문제를 찾아낼 수 있다는 것을 깨닫기 시작했습니다. 미 국방부 외에도 싱가포르의 국방부와 유럽평의회, 핀란드의 세무부 또한 버그바운티를 실시한 바 있습니다. 

 

5. [기사] 최근 북한 공격에서 액티브 X 제로데이 발견
[https://www.bleepingcomputer.com/news/security/activex-zero-day-discovered-in-recent-north-korean-hacks/]
북한의 사이버 스파이 활동 단체는 액티브 X 제로데이를 이용해 한국의 목표물에 멀웨어를 감염시키거나 손상된 시스템의 데이터를 빼내간다고 합니다. 이러한 공격의 가해자는 Andariel Group으로 알려져 있습니다. 안랩(AnnLab)이 작성한 보고서에 따르면, Andariel Group은 군대의 일원으로 여겨지는 크고 잘 알려진 북한 사이버 스파이 Lazarus 그룹의 작은 단위입니다. 최근 공격의 물결이 지난달에 시작되었습니다. Andariel 해커가 새로운 제로데이를 포함해 공격에 최소한 9개의 ActiveX 취약점을 배포했다고 전했습니다. 선호하는 행동은 합법적인 사이트를 해킹하고, 악용 코드를 호스팅하며, 가치가 높은 대상이 손상될 때까지 들어오는 모든 사이트 방문자를 감염시키는 급수 공격을 통해 공격하는 것입니다. Andariel 공격자는 일반적으로 감염된 호스트에 백도어 트로이목마를 배포하여 정보를 검색하고 수집합니다.

첨부파일 첨부파일이 없습니다.
태그 Hidden Cobra  Joanap  Brambul  Double Kill  Andariel Group