Wins Security Information

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향[2018년 10월 4일] 주요 보안 이슈
작성일 2018-10-04 조회 864

1. [기사] GhostDNS: New DNS Changer Botnet Hijacked Over 100,000 Routers
[https://thehackernews.com/2018/10/ghostdns-botnet-router-hacking.html]
중국의 사이버 보안 연구원이 10만개가 넘는 홈 라우터를 하이재킹하고 사용자를 해킹하여 DNS 자격 증명을 훔치도록 DNS 설정을 수정한 멀웨어 캠페인을 발견하였다. GhostDNS라 이름붙여진 이 캠페인은 감염된 장치에서 DNS 서버 설정을 변경하여 작동하는 악의적인 DNSChanger 멀웨어와 많은 유사점을 가지고 있다. 해당 공격을 통해 공격자는 악의적으로 조작된 서버를 이용해 사용자의 인터넷 트래픽을 라우팅하고 중요한 데이터를 도용할 수 있다. 사이버 보안 회사인 Qihoo360 NetLab의 새로운 보고서에 따르면, 일반 DNSChanger 캠페인처럼 GhostDNS는 암호가 취약하거나 사용되지 않는 라우터의 IP 주소를 검색하고, 라우터 설정에 액세스하여 라우터의 기본 DNS 주소를 변경하여 공격자가 이를 통제할 수 있도록 만든다. GhostDNS 시스템은 주로 DNSChanger 모듈, 웹 관리 모듈, 악성 DNS 모듈, 피싱 웹 모듈의 4가지 모듈을 포함한다.
연구원에 따르면, 9월 21일부터 27일까지 GhostDNS 캠페인은 10만대 이상의 라우터를 손상시켰으며, 그 중 87.8%는 브라질에서 일어났다. 이는 브라질이 GhostDNS 공격자의 주요 대상임을 의미한다. GhostDNS 캠페인은 확장성이 뛰어나고 다양한 공격 경로를 사용하며, 자동 공격 프로세스를 채택하기 때문에 사용자들에게 실질적인 위협이 된다. 이러한 공격의 피해자가 되지 않게 하려면 라우터에 최신 버전의 펌웨어를 업데이트하고, 라우터 웹 포탈에 강력한 암호를 설정해야 한다. 또한 원격 관리를 사용하지 않도록 설정하고, 기본 로컬 IP 주소를 변경하며, 신뢰할 수 있는 DNS 서버를 라우터나 운영체제로 하드코딩하는 방법을 고려해볼 수 있다.

 


2. [기사] New Danabot Banking Malware campaign now targets banks in the U.S.
[https://securityaffairs.co/wordpress/76783/breaking-news/danabot-banking-malware-us.html]
몇주 전, ESET의 보안 전문가들은 폴란드, 이탈리아, 독일, 오스트리아 및 우크라이나를 대상으로 하는 DanaBot 은행 업무 트로이 목마의 활동이 급증한 것을 확인하였다. DanaBot은 델파이로 작성된 다중 레이어 모듈 식의 뱅킹 트로이목마이다. 해당 악성 앱은 운영자가 새로운 플러그인을 추가하여 새로운 기능을 추가할 수 있도록 지원한다. Proofpoint에 따르면, 현재 DanaBot 공격자는 미국의 은행을 겨냥한 새로운 캠페인을 시작하였다. 전문가들은 서버 통신에서 발견된 다른 ID를 사용하여 여러 캠페인을 모니터링하였는데, 이는 DanaBot이 서비스 모델로서의 멀웨어 모델을 통해 제공되고 있음을 의미한다. Proofpoint는 해당 멀웨어를 특정 지역에 배포하는 9명의 서로 다른 공격자들을 확인하였으며, 호주에만 두 개의 다른 공격자 그룹이 존재한다고 밝혔다. 
Proofpoint의 전문가들은 각 제휴사 ID가 서로 다른 배포 방법을 사용하고 있으며, 일부 배우는 낙진 공격 도구를 활용하고 다른 웹은 캠페인을 투입하거나 캠페인을 중재한다고 강조하였다. 연구원은 또한 DanaBot과 TCP 포트 443에서 사용자 지정 명령 및 제어 프로토콜을 사용하는 CryptXXX Ransomware 간의 유사점을 발견하였다. Proofpoint는 DanaBot의 C&C 트래픽이 Zlib 압축 외에도 AES 암호화를 사용하는 프로토콜의 발전이라고 추측한다. 연구자들은 개발자들이 CryptXXX의 진화의 일환으로 DanaBot을 개발했다고 추측하고 있다. Danabot은 한 특정 그룹의 긴 악성 프로그램을 따르는 것으로 보이며, ransomware로 시작하여 Reveton에서 stealer 기능을 추가하였다고 Proofpoint는 결론지었다.

 


3. [기사] Tesco Bank Hack 2016 Update: Bank Fined £16.4m; Details Revealed
[https://latesthackingnews.com/2018/10/03/tesco-bank-hack-2016-update-bank-fined-16-4m-details-revealed/]
2016년 영국의 테스코 은행은 사이버 공격의 희생양이 되었다. 당시 은행 당국은 사건에 대한 자세한 내용을 밝히지 않았다. 이후 은행 측에서는 136000건의 고객 데이터에 영향이 있었음을 파악하였다. 해당 공격으로 은행은 일시적으로 서비스를 중단하고 영향을 받은 계정을 동결해야 했다. 이후 서비스가 재개되고 은행은 공격으로 인한 재정적 손실을 입은 고객들에게 돈을 돌려주었다. 그럼에도 불구하고 피해자들은 사건과 관련된 기술적 세부 사항을 알 수 없었다. 사건 발생 2년만에 2016년 해킹에 대한 자세한 정보가 공개되었다. 이는 금융 행위 감독청(FCA)의 통지 내용이었다. 이 보고서에 따르면, 공격자들은 은행의 직불 카드 설계의 취약점을 악용하는것에 성공하여 226만 파운드를 탈취한 것으로 드러났다. 
사고의 세부 사항을 밝히는 것 외에도 FCA는 Tesco Bank에게 고객 보호에 실패한 것에 대해 1640만 파운드(약 2억 1,400만 달러)의 벌금을 부과하였다. 벌금이 지나친 것으로 보이지만 FCA는 Tesco의 협조로 이 벌금에 할인이 적용되었다고 진술하였다. 최종 통지서에 명시된 바와 같이, 테스코 은행은 당국의 조사 초기 단계에 정착하기로 합의했기 때문에 당국의 집행 합의 절차에 따라 30%(1단계) 할인을 받은 것이다. 이 할인이 없었다면 당국은 Tesco Bank에 23,428,500 파운드의 벌금을 부과했을 것이다. FCA가 Tesco Bank에 부과한 벌금은 예측 가능한 위험으로부터 고객을 보호하지 못하는 은행에 대해 FCA가 아무런 관용을 갖지 않는다는 사실을 반영한다. 이 경우 공격은 Tesco Bank가 공격이 시작될 때까지 제대로 대응하지 못했다는 사실에 대해 경고한 것이다.

 


4. [기사] Phishing Attack Uses Azure Blob Storage to Impersonate Microsoft
[https://www.bleepingcomputer.com/news/security/phishing-attack-uses-azure-blob-storage-to-impersonate-microsoft/]
피싱 공격은 매우 은밀하게 진행되지만, 기민한 사용자는 로그인 폼이 안전하지 않거나, SSL 인증서가 해당 회사에서 소유하지 않았다는 것을 알게 된다. 새로운 Office 365 피싱 공격은 Azure Blob 저장소에 호스팅 된 피싱 양식을 Microsoft SSL 인증서로 보호하는 방식으로 이루어진다. Azure Blob 저장소는 이미지, 비디오 또는 텍스트와 같은 비정형 데이터를 저장하는 데 사용할 수 있는 Microsoft 저장소 솔루션이다. Azure Blob 저장소의 장점 중 하나는 HTTP 및 HTTPS를 사용하여 액세스할 수 있다는 것과, HTTPS를 통해 연결하면 Microsoft의 서명된 SSL 인증서가 표시된다는 것이다. 여기에서 Azure Blob 저장소에 피싱 양식을 저장하면 표시된 양식에 Microsoft의 SSL 인증서가 서명된다. 따라서 Office 365, Azure AD 또는 다른 Microsoft 로그인과 같은 서비스를 대상으로 하는 피싱 양식을 만드는 것이 이상적인 방법이다. 이상한 URL을 의심하는 사용자의 경우에도, 인증서를 보면 Microsoft IT TLS CA5에서 발급한 SSL 인증서로 페이지에 서명이 되어 있는 것을 확인하여 많은 사람들이 이것이 합법적인 로그인 방법이라 확신할 수도 있다는 것이다. Netskope는 이러한 종류의 진화하는 위협으로부터 사용자를 보호하기 위해 비표준 웹페이지의 주소를 인식하도록 사용자들에 대한 교육이 이루어져야 한다고 말한다.

 


5. [기사] [긴급] 한국 정부 메일 포함 1만7천여 개 메일주소·비밀번호 유출
[https://www.boannews.com/media/view.asp?idx=73410&mkind=1&kind=1]
지난 2일, 해커들이 많이 이용하는 정보 공유 웹사이트 PasteBin에 2개의 이메일 주소 및 비밀번호 리스트가 게시되었다. 각각 9k korean mail access combo와 8k koean mail access combo라는 제목의 리스트들에는 각각 9천여 명과 8천여 명에 달하는 국내 사용자들의 메일 주소와 비밀번호가 노출되어 있다. 해당 리스트에는 네이버, 다음, 네이트 등 국내 대부분의 포털 메일 주소와 함께 해당 메일 계정의 비밀번호로 추정되는 패스워드도 함께 노출되어 있는 것으로 드러났다. 특히 우리나라 정부 부처 메일도 27개가 포함되어 있어, 2차 피해가 우려되는 상황이다. 다만 특정 웹사이트가 해킹되어 해당 웹사이트의 계정 정보가 유출된 것인지는 확인되지 않은 상황이다. 해당 리스트를 조회한 횟수가 이미 319건과 179건에 이르는 것으로 나타나, 2차 피해로 이어질 가능성이 높은 것으로 추정된다. 이와 관련하여 보안전문가는 이메일 주소와 비밀번호가 매칭된 계정 정보가 유출되어 2차 피해가 매우 커질 수 있으며, 특히 정부 이메일 주소는 악용될 경우 큰 피해가 발생할 수 있으므로 누구의 계정정보인지를 빠르게 찾아서 비밀번호 변경 등의 조치를 취해야 한다고 강조하였다.

첨부파일 첨부파일이 없습니다.
태그 GhostDNS  Danabot  Pastebin 계정정보 유출