Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향[2018년 6월 20일] 주요 보안 이슈
작성일 2018-06-20 조회 700

1. [기사] 월드컵 스케줄표인 척 유혹하는 월차트 피싱 캠페인 주의
[http://www.boannews.com/media/view.asp?idx=70458&page=1&mkind=1&kind=1]
 2018년 FIFA 월드컵에 쏠린 열기를 악용한 피싱 캠페인이 발견됐습니다. 보안 업체 체크포인트에 따르면 월차트 피싱 캠페인은 월드컵과 관계있는 것처럼 보이는 메시지를 통해 멀웨어를 심는 공격입니다. 피싱 이메일 공격은 제목이 World_Cup_2018_Schedule_and_Scoresheet_V1.86_CB-DL-Manager으로 상당히 길며 월드컵 스케줄표와 현재까지의 점수를 보기 좋게 정리해뒀을 것 같은 내용입니다. 피해자가 이 이메일을 열고 첨부파일을 다운로드 하면 잠재적 비요구 프로그램들(PUP)을 설치하는 데 자주 사용되는 다운로더가이드(DownloaderGuide)라는 멀웨어가 설치됩니다. 이 멀웨어를 통해 온라인 티켓 거래 과정에 개입하여 돈을 목적으로 유효하지않는 티켓을 구매하도록 하거나, 개인정보를 빼앗을 수 있게됩니다. 또는 정치적 목적을 갖고 정보를 훔치거나 스파잉 하는데 이용됩니다. 이용자들은 공공 와이파이 사용에 주의하고, 아무 첨부 파일이나 클릭하지 말아야하는 등 주의가 필요합니다.


2. [기사] 여러 단계의 복잡한 공격 실시하는 베타봇 변종 등장
[http://www.boannews.com/media/view.asp?idx=70462&page=1&mkind=1&kind=1]
 악성 마이크로소프트의 17년된 문서 취약점을 익스플로잇한 베타봇이라는 트로이목마가 동장했습니다. 베타봇은 원래 뱅킹 트로이목마였으며 그 이후 비밀번호 탈취기로 변모했고, 지금은 랜섬웨어 등의 악성 프로그램을 퍼트리는 봇넷이 되었습니다. 현재 온라인 암시장에서 약 120달러로 활발히 거래되고 있습니다. 베타봇 공격자는 악의적으로 조작한 RTF 파일에 OLE객체를 임베드 시킴으로써 피해자의 시스템에서 명령을 실행할 수 있도록 합니다. 공격의 마지막 단계에서 변종이 나타나는데 디버깅 방지 기능과 가상화 방지 기능을 포함하고 있으며, 특정 도메인과 통신을 합니다. 이를 통해 트래픽을 우회하기도 하고 추가 수익을 거두고자 한다고 전문가는 설명합니다. 

 

3. [기사] 美 FBI와 국토안보부, 북한의 신종 트로이목마 보고서 공개...한국도 주의
[http://www.dailysecu.com/?mod=news&act=articleView&idxno=35514]
 美국토안보부와 FBI는 'Typeframe'이라는 새로운 트로이목마에 대한 분석 보고서를 발표했습니다. 분석 보고서에 따르면 알려진 북한 해킹 그룹인 '히든코브라(Hidden Cobra)'가 Typeframe을 사용중이며 연방 정부에서 멀웨어에 대한 노출을 줄이기 위해 보고서를 배포하고 있다고 밝혔습니다. 이 파일은 멀웨어를 다운로드 및 설치하고 또 프록시 및 원격 액세스 트로이 목마(RAT)를 설치하고 명령 및 제어(C&C) 서버에 연결해 추가 명령을 받아들이고, 수신 연결을 허용하도록 피해자의 방화벽을 수정할 수 있다고 설명합니다.

 

4. [기사] 악성코드 유포 도구 통해 갠드크랩 랜섬웨어 뿌려진다
[http://www.boannews.com/media/view.asp?idx=70452&page=2&mkind=1&kind=1]
 최근 최신 취약점을 이용해 ‘갠드크랩’ 랜섬웨어가 국내에 유포되고 있어 국내 인터넷 이용자들의 주의가 필요합니다. 기존에 이메일을 통해 활발히 유포중이던 갠드크랩 랜섬웨어가 악성코드 유포 도구인 '그랜드소프트' 익스플로잇 킷을 이용하여 웹을 통해 유포함으로써 그 정황이 포착됐습니다. 이를 통해 일반 사용자는 웹 사이트만 접속해도 랜섬웨어에 감염될 수 있게되었습니다. 악성코드를 유포하는데 사용되는 '그랜드소프트' 익스플로잇 킷은  ‘비주얼 베이직 스크립트(VBScript)’ 엔진에서 원격 코드를 실행할 수 있는 취약점입니다. 이로인해 감염자가 증가하고 있으며 이용자들은 윈도우 운영체제를 반드시 최신 버전으로 업데이트하여 피해를 예방해야 합니다.

 

5. [기사] 평창 동계 올림픽에 새롭게 등장한 악성 코드
[https://www.bleepingcomputer.com/news/security/malware-that-hit-pyeongchang-olympics-deployed-in-new-attacks/]
 보안 연구원에 따르면 평창 2018 동계 올림픽에서 등장한 맬웨어인 올림픽 디스트로이어가 아직 살아 있고 새로운 희생자를 감염시키고 있다고 밝혔습니다. 5월,6월에 유럽 전역에서 올림픽 디스트로이어가 감염된 것이 발견됐으며 희생자들은 러시아의 금융기관, 유럽과 우크라이나의 생물 및 화학 위협 방지 연구소가 있습니다. 공격에서는 스피어 피싱 기술을 사용해 피해자를 속이기 위해 오피스 문서를 열어 놓고 있다고 설명합니다. 이 문서에는 PowerShell 로깅을 비활성화하고 올림픽 디스트로이어로 피해자를 다운로드 및 감염시키는 PowerShell 스크립트를 실행하는 매크로 코드가 포함되어 있습니다. 최근의 공격에 대해 Kaspersky는 해커가 Joomla PHP 기반 CMS의 매우 오래된 버전 인 Joomla 1.7.3을 실행하는 웹 사이트에서 Olympic Destroyer 바이너리를 다운로드했다고 말합니다. 악성코드의 주요 목적은 포렌식 수사를 방해하거나 it 부서의 혼란을 야기시키기 위해 내부 네트워크에 멀웨어를 퍼트려서 시스템의 모든 데이터를 지우기 위한 것입니다. 

첨부파일 첨부파일이 없습니다.
태그 DownloaderGuide  베타봇  Typeframe  그랜드소프트  올림픽 디스트로이어