Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향[2018년 10월 5일] 주요 보안 이슈
작성일 2018-10-05 조회 715

1. [기사] Russian Fancy Bear APT linked to Earworm hacking group
[https://www.zdnet.com/article/fancy-bear-apt-linked-to-earworm-cyberespionage-group/]

Fancy Bear로도 알려진 APT28이 다른 해커 그룹과 연합하여 유럽과 아시아의 군대를 목표로 하고 있음이 밝혀졌다. Sednit, STRONTIUM, Sofacy라는 이름으로도 추적되고 있는 Fancy Bear는 러시아 정부의 후원을 받고 있는 것으로 알려진 유명한 해킹 단체이다. 
이 APT 단체는 2004년부터 모습을 보인 것으로 추정되며, 2016 미국 선거에 정치적 공격, World Anti-Doping Agency (WADA), 우크라이나 군사 등 다른 나라까지 광범위한 공격을 했다. 이 그룹의 해킹 도구는 광범위하며 에이전트 소프트웨어, 트로이 목마, 백도어 및 보안 감시 시스템을 포함한다. 이에 비해 Zebrocy라고도 알려진 Earworm은 불과 2년 동안 은밀히 유럽과 아시아에서 활발하게 활동했다. 이러한 차이점에도 불구하고 두 그룹은 비슷한 목표를 갖고 있다고 시만텍 연구원들은 말했다. C2서버를 공유하는 데에서 두 그룹의 운영에 오버랩이 발견되었다. 동일한 인프라를 두 그룹 모두에서 사용하며 별도의 공격을 수행하였다.두 그룹이 쓰는 도구는 2가지이다. 기본적인 보안 기능을 갖춘 다운로드 도구인 Trojan.Zekapab과 파일 압축, 페이로드 다운로드 및 실행, 레지스트리 변경 및 스크린샷을 추출할 수 있는 지속성 모듈인 Backdoor.Zekapab이다. Earworm 또한 Fancy Bear과 같이 러시아 정부에 연결되었는지 확실하지 않지만, 정보 탈취를 통해 이득을 얻으려는 위협은 있을 것이다.


2. [기사] Fallout Exploit Kit Now Installing the Kraken Cryptor Ransomware
[https://www.bleepingcomputer.com/news/security/fallout-exploit-kit-now-installing-the-kraken-cryptor-ransomware/]

Fallout Exploit이 몇 주동안 갠드크랩 랜섬웨어를 유포하고 있었지만, 최근 Kraken Cryptor 랜섬웨어로 방향을 바꿨다. Kraken Cryptor 랜섬웨어는 RaaS(Ransomware as a Service)로써 계열사에서 활동적으로 배포하고 있다. 이것은 제휴 시스템으로써, 다양한 방법을 이용하여 랜섬웨어를 퍼뜨리고 있음이 밝혀졌다. 랜섬웨어가 설치되면 피해자의 파일을 암호화시킨다. 이전 버전에서는 파일 이름에 일련 번호를 사용한 다음 Lock.onion을 추가하였는데 이전과 달리 이 버전은 암호화된 파일의 이름을 임의 확장자로 임의의 이름으로 바꾼다. 또한, # How to Decrypt Files-[extension].html이라는 랜섬 노트도 만든다. 이 노트에는 값을 지불하는 방법과 연락 방법이 쓰여있다. 현재까지는 랜섬웨어를 풀 수 있는 방법은 없다. 크라켄은 공격 키트를 통해 설치되므로 최신 Windows 보안 업데이트가 모두 설치되어 있고 프로그램이 최신 버전으로 업데이트되었는지 확인해야한다. 해킹당한 원격 데스크톱 서비스를 통해서도 랜섬웨어가 설치된다고 알려져 있기 때문에, 제대로 잠겼는지 확인하는 것이 매우 중요하다. 

 

3. [기사] ThreatList: 83% of Routers Contain Vulnerable Code
[https://threatpost.com/threatlist-83-of-routers-contain-vulnerable-code/137966/]

Linksys, NETGEAR 및 D-Link와 같은 여섯 개의 유명 브랜드 라우터 중 다섯 개는 알려진 오픈 소스 취약성이 존재함이 밝혀졌다. 83%의 가정과 사무실 라우터에는 취약점이 존재하며, 25%이상이 고위험 및 심각한 취약점을 갖고 있다고 한다. 연구원들은 오픈 소스 라이브러리를 주요 이유로 뽑았다. 또한, 자주 없데이트되지 않는 벤더에도 책임이 있다고 말했다. 조사된 186개의 라우터 중 17퍼센트만이 어떠한 취약점도 가지고 있지 않았다. 국립표준기술연구원(National Institute of Standards and Technology)의 국가 취약점 데이터베이스 분류에 따라 취약점 중 7%가 심각, 21%가 높은 등급과 60%의 중간, 12%의 낮은 등급임을 발견했다. 연구자들은 CCTV 카메라, DVR, 프린터 및 NAS(Network-Attached) 장치와 같은 모든 인터넷 연결 장치의 광범위한 맥락에서 볼 때 공급업체가 설계 보안 오류를 더 보완해야한다고 말했다.

 

4. [기사] Chinese Spying Chips Found Hidden On Servers Used By US Companies
[https://thehackernews.com/2018/10/china-spying-server-chips.html]

국내 최대 규모의 기업 스파이와 하드웨어 해킹 프로그램 중 하나로 보이는 공급망 공격에 대한 자세한 내용을 공개했다. 쌀 한 알보다 크지 않은 작은 감시 칩이 애플과 아마존을 포함한 거의 30개의 미국 회사들이 사용하는 서버들에 숨겨져 있다고 한다. 이 작은 칩은 미국의 Super Micro 회사에서 디자인된 마더보드 서버의 부분이 아닌 중국에서 제조 과정에서 삽입되었다.
애플사는 이상한 네트워크 활동과 펌웨어 문제를 감지한 후 2015년 5월경 Supermicro 서버 내부에서 의심스러운 칩을 발견했다고 한다. 크기가 작아 코드의 양도 적었지만, 두 가지 매우 중요한 일을 할 수 있었다. 기기에 더 복잡한 코드가 로드된 인터넷상의 여러 익명 컴퓨터 중 하나와 통신하도록 지시하고 이 새로운 코드를 수용하도록 장치의 운영 체제를 준비하는 것이다. 보드의 모델에 따라서, 칩의 사이즈는 약간씩 달랐다. 즉, 여러 곳에서 다양한 공장에 공급했다는 것을 알 수 있다.
애플은 2016년에 슈퍼 마이크로와의 관계를 끝냈다. "사용자들이 우리에게 맡긴 개인 정보를 보호하기 위해 가능한 모든 조치를 취한다는 점을 이용자들이 알기를 바란다"고 말했다. 


5. [기사] 北 추정 사이버공격 여전히 진행중...우리 대응능력은 한계치
[https://www.boannews.com/media/view.asp?idx=73414&mkind=1&kind=1]

북한 추정 사이버공격이 지속적으로 포착되고 있다. 외교통일위원회를 사칭해 ‘2018년도 국정감사계획서(안)’로 위장한 악성파일이 발견됐으며, 북한 이탈자를 노린 타깃 공격, 금전 이득을 취하기 위한 암호화폐 거래소 공격, 전 세계 금융기관 타깃의 공격도 이어지고 있다. 
올해는 북한 이탈자를 타깃으로 한 공격이 집중적으로 진행되고 있다고 말했다. 통일부를 사칭한 정보탈취용 악성파일을 유포하거나, 한글파일 취약점을 이용한 공격은 물론 해당 공격들은 동일한 코드와 계정을 지속적으로 사용하고 있다고 전했다. 통일부를 사칭한 악성 메일은 ‘본 메일은 보안메일이라며 첨부파일을 클릭해 자료를 받은 후 내용을 확인하라’는 내용으로 클릭을 유도하고 있다. 
이처럼 북한 등 정부가 후원하는 사이버공격은 갈수록 치밀해지고 있는 반면, 이들을 방어하기 위한 연구 및 인력은 턱없이 부족한 실정이다. 글로벌 보안기업들은 북한의 사이버위협 분석에 많은 연구와 투자를 하고 있는 반면, 우리나라는 연구·분석할 수 있는 보안 전문인력이 부족하므로 관심과 투자가 필요하고, 민간 보안업체들도 투자를 확대할 필요가 있다고 강조했다.

첨부파일 첨부파일이 없습니다.
태그 북한  Router  Krakken  Fancy Bear