Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향[2018년 9월 10일] 주요 보안 이슈
작성일 2018-09-10 조회 718

1. [기사] Feds Charge North Korean For WannaCry, Sony Hack
[https://motherboard.vice.com/en_us/article/j5nyyx/doj-charge-north-korea-wannacry-sony-hack]
지난 목요일, 미국의 법무부에서 북한에서 일하는것으로 추정되는 해커에게 요금을 청구하는 전례없는 조치를 취했다. 법무부에 따르면 박진혁이라는 이 프로그래머는 워너크라이 랜섬웨어 제작 팀에서 일했으며, 2016년 방글라데시 은행으로부터 수천만 달러의 디지털 범죄를 저질렀고, 2014년 소니 픽쳐스 해킹에 가담한 것으로 알려졌다. 한 법무부의 고위 관리는 기자들과의 전화 회의에서 박진혁이 중국의 J Expo라는 회사에서 일했다고 밝혔다. 이 회사는 북한의 군사 정보에 대한 수익을 창줄하는 업무를 진행한다고 알려졌다. 박진혁은 재산 강탈, 유선 사기 및 다양한 해킹 범죄로 기소되었다. 
2014년에 '평화의 수호자'라고 불리는 해커가 소니를 대상으로 다양한 내부 문서 및 이메일을 훔쳐 공개적으로 다운로드하여 다른 사람이 다운로드 할 수 있도록 침해 사고를 일으켰다. 산업계와 법 집행관들은 해당 해킹 수법이 북한의 해킹 수법과 유사하다는 것을 곧바로 알아차렸으며, 해당 공격은 북한의 통치자를 조롱했던 소니의 영화 '인터뷰 (Interview)'에 대한 반응으로 일어난 것이었다. 법무부 관리는 북한이 AMC 극장과 영국의 제작 회사 인 맘모스 스크린 (Mammoth Screen)에 피싱 이메일을 보내고 있다고 말했다. 박진혁은 소니 해킹 직전에 중국에서 북한으로 여행을 갔다고 관계자는 덧붙였다. 그 후 2016년에 북한 해커가 방글라데시 은행을 뚫고 약 8000만 달러 이상을 훔친 것으로 추정되는 침해 사고가 일어났다. 뿐 아니라 작년에 일어난 ransomware 공격이 전 세계로 확산되어 컴퓨터의 데이터를 암호화하고, 특히 영국의 국민 건강 보험 (National Health Service)에 영향을 미친 일도 있었다. 박진혁의 이 혐의들은 북한이 국제적으로 행하는 다양한 유형의 해킹 활동을 폭넓게 수집 한 것을 상기시키는 역할을 한다.

 


2. [기사] USB Drives shipped with Schneider Solar Products were infected with malware
[https://securityaffairs.co/wordpress/75986/malware/schneider-usb-drives-malware.html]
Schneider Electric이 Conext ComBox 및 Conext Battery Monitor 제품과 함께 제공된 USB 드라이브에서 악성 코드를 발견했다. 두 제품은 모두 공급 어체의 태양 에너지 관련 제품 중 일부이다. ComBox는 Conext 태양광 시스템의 설치자와 운영자를 위한 통신 및 모니터링 장치이다. 또한 Conext Battery Monitor는 배터리 기반 런타임이며, 배터리 뱅크의 충전 상태를 표시한다.  이 때, 오염된 드라이브는 Conext ComBox의 모든 버전과 Conext Battery Monitor의 모든 버전과 함께 제공된다. Schneider는 타사 공급 업체의 시설에서 USB 드라이브가 제조 과정에서 악성 코드에 감여된 것으로 추정하고 있다. 다행히 해당 USB 드라이브에서 발견된 악성 코드는 거의 모든 바이러스 백신 소프트웨어를 통해 탐지된다. 하지만 회사에서는 고객이 백신을 사용하는 것보다는 감염된 장치를 안전하게 폐기하는 것을 권장하고 있다. 감염된 USB 드라이브를 사용했다고 생각하는 사용자는 자신의 시스템을 검사하여 악성 코드가 있는지 확인해야 한다. 사건의 범위가 명확하지 않은 현 시점에서 이 사건은 지난 몇 년 동안 관찰된 일련의 공급망 공격의 최신 사례이다. Security affair 측은 사전 설치 된 멀웨어의 몇 가지 사례를 보고했으며 작년에 IBM Storwize가 감염된 초기화 USB 드라이브와 함께 출하된 것과 유사한 이 사례와 매우 유사한 경우 또한 보고했다.

 


3. [기사] MEGA Chrome Extension Hacked Affecting 1.6 Million Users
[https://latesthackingnews.com/2018/09/09/mega-chrome-extension-hacked-affecting-1-6-million-users/]
Cryptocurrency는 더 많은 돈을 빠르게 훔치는 방법으로 범죄 해커로부터 상당한 주목을 받고 있다. 한 번의 시도로 많은 노력을 기울이지 않고도 수백만 달러에 달하는 크립토크 통화를 사용할 수 있기 때문이다. 이에 일부 공격자들이 MEGA Chrome 확장 프로그램을 해킹하여 디지털 자산을 도용하려고 시도했음이 밝혀졌다. 2018 년 9 월 4 일에 한 그룹이 MEGA Chrome 확장 프로그램을 해킹하여 사용자 계층에 도달했다. MEGA의 Chrome Store 프로필에 액세스하여 악성 버전의 도구를 업로드 하였으며, 이는 합법적으로 보였기 때문에 사용자는 이를 설치하여 요청된 모든 권한을 승인하였다. 따라서 해커가 로그인 자격 증명과 함께 개인 키에 액세스하여 사용자의 암호 자산을 도용 할 수 있게 된 것이다.
SerHack이라는 연구원이 해킹 된 확장 프로그램을 언급하는 트윗을 통해 사용자들에게 이를 경고했다. 그는 이 도구가 Microsoft, Github, Google 및 Amazon을 비롯한 다양한 플랫폼에서 잠재적으로 사용자 자격 증명을 수집 한 것을 확인했다. 이후 그는 자신의 블로그에 이벤트 일정을 자세하게 게시했는데, 이는 Reddit에서 Chrome의 악의적 인 MEGA Extension에 대한 소식을 처음 들었음을 나타낸다.
악성 확장은 MEGA 정품 확장 프로그램과 달리 "권한 상승"을 요청했을 때 나타난다. 이 도구는 데이터를 수집 한 후 사용자 정보를 우크라이나의 megaopac [] 호스트의 로컬 서버로 보내며, 위반이 확인된 후 NameCheap이 메가 팩 [.] 호스트 도메인을 차단하게 된다. MEGA에서 영향을 받은 특정 사용자 수를 구체적으로 밝히지는 않았지만 SerHack은 Bleeping Computer에 해킹이 160만 명이 넘는 사용자에게 영향을 주었다고 전했다.  온라인으로 해당 이슈가 공개 된 후 MEGA는 Chrome Store에서 MEGA 확장 프로그램의 "트로이 목마"버전이 존재 함을 확인했다. 이 도구는 과도한 사용 권한을 요청했으며, MyEtherWallet 및 My Monero와 같은 암호화 된 지갑과 분산된 Exchange IDEX를 비롯한 다양한 사이트에 대해 자격 증명을 추출하는 권한을 가지고 있으며, 이 정보를 통해 공격자는 사용자의 계정에 로그인하고 개인 키를 추출하여 사용자의 암호 자산을 도용 할 수 있다. 그들은 블로그에 해당 정보를 공개했으며 해킹된 버전을 대체 할 정품 버전인 3.39.5 버전을 발표했다. 또한 구글은 사건 발생 5시간 후 해당 멀웨어의 다운로드를 막았다. MEGA는 이 공격이 버전 3.39.4의 사용자들에게만 영향을 미쳤음을 확인했다. 이들은 블로그에 문제가 발생했을 때 MEGA Chrome 확장 프로그램을 설치하고 자동 업데이트를 사용하고 추가 권한을 수락했거나 버전 3.39.4를 새로 설치 한 경우에만 영향을 받음을 명시하면서, 트로이 목마 확장 기능이 활성화 된 상태에서 POST 요청을 통해 일반 텍스트 자격 증명을 보내는 다른 확장 프로그램을 사용하거나 직접 양식 제출 또는 백그라운드 XMLHttpRequest 프로세스(MEGA가 아닌 것)를 통해 다른 사이트를 방문한 경우, 이 사이트 또는 응용 프로그램에서 자격 증명이 손상되었을 것이라 추정된다고 게시했다. 또한 벤더사에서는 버전 3.39.4를 사용하는 모든 사용자가 신속하게 3.39.5 버전으로 업데이트하여 멀웨어 프로그램을 신속하게 제거할 것을 권고하였다.

 


4. [기사] No.1 Adware Removal Tool On Apple App Store Caught Spying On Mac Users
[https://thehackernews.com/2018/09/mac-adware-removal-tool.html]
애플의 맥 앱 스토어 (Mac App Store)에서 애드웨어 및 맬웨어 위협으로부터 사용자를 보호하기 위해 다운받을 수 있는 인기 높은 상위 계층 응용 프로그램이 아이러니하게도 사용자의 동의없이 탐색 기록을 훔쳐내어 중국 서버에 보낸 것이 드러났다. 더 중요한 사실은 애플이 한 달 전에 경고를 받고 나서도 앱에 대해 어떤 조치도 취하지 않았다는 것이다.
문제의 앱은 맥 앱 스토어에서 4번째로 인기있는 유료 앱인 애드웨어 닥터(Adware Doctor)이다.
@privacyis1st 트위터 핸들을 가진 보안 연구원은 거의 한 달 전에 Adware Doctor의 의심스러운 스파이웨어와 유사한 동작을 감지하고 또한 사용자의 브라우저 기록이 어떻게 유출되었는지에 대한 개념 증명 비디오 데모를 업로드한 것으로 드러났다. 이 연구원은 애플에게 당시 Adware Doctor의 의심스러운 활동에 대해 알렸지만 애플에서는 적절한 조치를 취하지 않았고, 앱 개발자인 Yongming Zhang은 Mac App Store에서 지속적으로 앱을 판매할 수 있었다.
그 후 이 연구원은 전 NSA 직원인 Patrick Wardle과 함께 Adware Doctor를 조사하였다. Patrick Wardle은 이 앱이 Apple의 샌드 박스를 통해 사용자의 브라우저 기록을 은밀하게 수집한 후 중국의 서버로 전송하는 것을 밝혀냈다. 이는 애플 개발자 가이드 라인을 맹렬히 위반하는 것이다. Wardle의 게시물에 설명 된 기술 프로세스에 따르면 Adware Doctor는 Apple의 앱 샌드 박스를 벗어나서 Safari, Chrome, Firefox 등의 웹 브라우저에 연결된 프로세스를 호출 한 다음 기록 데이터를 ZIP 아카이브로 압축하여 서버에 업로드하는 방식으로 기록을 탈취하였다.
애드웨어 닥터(Adware Doctor)는 기존에 애드웨어 메딕(Adware Medic)으로 명명되어 있었으며, 2015 년에 멀웨어 바이트(MalwareBytes)가 인수 및 브랜드 변경을 한 다른 애드웨어 메디컬 앱을 모방하여 고안되었다. 해당 앱은 2년 전 MalwareBytes에서 불만을 제기 한 후 스토어에서 삭제되었으며 Adware Doctor라는 이름으로 다시 등장하였고, 가짜 리뷰를 통해 Mac 스토어에서 인기있는 유료 유틸리티로 사용되었다.
앱이 사용자의 동의없이 사용자의 데이터를 수집하고 애플의 샌드 박스 보호를 우회하여 수많은 앱 스토어 규칙 및 가이드 라인을 위반하였다. 이를 밝혀낸 Wardle은 애플에게 일주일 전에 이 문제에 관해 문의했지만 회사는 아무 조치도 취하지 않았다. Wardle의 블로그 게시물이 여러 언론 매체에 의해 발표 된 후, 애플은 마침내 Mac App Store에서 Adware Doctor를 제거하고 개발자의 다른 앱 AdBlock Master도 함께 삭제하였다.

 


5. [기사] New CHAINSHOT Malware Attack Carried Adobe Flash 0-day Exploit with Weaponized Microsoft Excel Documents
[https://gbhackers.com/chainshot-malware-attack-via-adobe-flash/]
Adobe Flash의 제로데이 취약점을 이용하는 CHAINSHOT 멀웨어가 새롭게 발견되었다. 연구원들은 해당 멀웨어의 512 비트 RSA 키와 페이로드를 성공적으로 해독하였다. 해당 공격은 악의적으로 조작된 Microsoft Excel 문서에 Shockwave Flash ActiveX 개체를 넣어 보낸다. 또한 Movie 속성에 Flash 응용 프로그램을 다운로드할 수 있는 URL이 들어 있다. 추가 분석에 의하면 Flash 응용 프로그램의 프로세스의 메모리에 임의의 512비트 RSA 키 쌍을 생성하는 난독화된 다운로더이다. 위 경우 Private 키는 메모리에 남아 있으며, 공개키는 AES 키를 암호화하기 위해 공격자 서버로 전송된다. 이후 암호화된 페이로드를 다운로더로 보내고, 메모리에 있는 개인 키를 이용하여 128비트 AES키와 페이로드를 해독하여 작동하는 것이다. AES 128 비트 키가 해독되면 실제 페이로드를 쉽게 해독할 수 있고 해독된 쉘 코드 페이로드는 zlib로 추가 압축된다. 추가 분석을 통해 공격자는 자체 PE 페이로드가 포함된 쉘 코드 페이로드의 복잡성과 익스플로잇을 사용하는 것으로 드러났다.
Palo Alto Researchers에 따르면, 익스플로잇이 RWE 권한을 성공적으로 얻은 후에 실행 파일은 쉘 코드 페이로드로 전달된다. 셸 코드는 내부적으로 FirstStageDropper.dll이라는 이름의 내장 DLL을로드하는데, 이 DLL을 CHAINSHOT이라 명명하였다. FirstStageDropper.dll은 SecondStageDropper.dll을 다른 프로세스에 주입하여 실행한다. 이 때 셸 코드 페이로드에는 EMET을 검색하고 우회하는 코드만 포함되어 있으나 FirstStageDropper.dll에는 카스퍼스키 및 Bitdefender 코드도 들어 있는 것이 확인되었다. 최종 페이로드는 시스템의 핑거 프린팅을 담당하며 사용자 및 시스템에서 실행중인 프로세스에 대한 세부 정보를 전송한다.

첨부파일 첨부파일이 없습니다.
태그 멀웨어 감염 USB 드라이버  MEGA Cryptocurrency  애플 맥스토어 멀웨어 판매  CHAINSHOT 멀웨어