Wins Security Information

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향[2018년 11월 27일] 주요 보안 이슈
작성일 2018-11-27 조회 799

1. [기사] Hacker stole $1m from Silicon Valley executive via SIM swap
[https://securityaffairs.co/wordpress/78427/hacking/sim-swap-hacker.html]
뉴욕 출신의 21세 남성, 니콜라스 트루글리아는 SIM 스와핑을 통해 실리콘밸리 출신 기업가로부터 100만 달러 어치의 암호화폐를 훔친 혐의를 받고 있다. 해킹과 사이버 공격은 10원 26일에 발생하였고, 트루글리아는 11월 14일에 체포되었다. 그는 6명 이상의 대상을 공격한 것으로 추정되고 있다. 100만 달러를 탈취당한 피해자는 샌프란시스코에 거주하는 로버트 로스로, 그는 갑자기 휴대전화가 꺼지는 것을 목격하고 서비스 제공자인 AT&T와 접촉하였다. 하지만 이 때는 이미 공격자가 두 개의 계좌로부터 각각 50만 달러씩을 빼내간 뒤였다. 트루글리아는 현재 신원도용, 사기, 횡령, 대규모 절도 미수 등 총 21건의 범죄로 기소되었다. SIM 스와핑은 은행이 도입한 추가 보안 조치를 무시할 수 있는 공격 유형이다. 공격자는 소셜 엔지니어링 또는 OSINT 활동을 통해 개인 확인 보안 질문에 응답하여 신원을 보증받을 수 있으며, 이를 통해 피해자의 전화번호를 공격자가 소유한 SIM 카드에 재할당할 수 있게 된다.

 


2. [기사] Trivial Spotify Phishing Campaign Targets Users To Steal Login Credentials
[https://latesthackingnews.com/2018/11/26/trivial-spotify-phishing-campaign-targets-users-to-steal-login-credentials/]
사이버 보안 회사인 AppRiver의 연구원들이 Spotify 사용자를 대상으로 하는 피싱 캠페인을 발견하였다. 공격 방법에는 대상 사용자에게 악의적인 이메일을 보내 조작된 링크를 클릭하도록 유도하는 방법이 사용되었다. 작업이 완료되면 피해자에게는 로그인 자격 증명을 입력하라는 메시지가 표시되고, 이 정보는 공격자에게 전송된다. 이 때 피해자는 마우스를 클릭 가능한 버튼 위에 올려놓아 링크를 확인함으로써 해당 링크가 공식 Spotify 페이지로 이동하지 않는다는 것을 확인할 수 있다. 또한 이러한 공격으로부터 보호받기 위해서 사용자는 이메일, 로그인 세부 정보 또는 기타 중요 정보를 요청하는 이메일을 항상 면밀히 검토해야 한다.

 


3. [기사] Mobile Rotexy Malware Touts Ransomware, Banking Trojan Functions
[https://threatpost.com/mobile-rotexy-malware-touts-ransomware-banking-trojan-functions/139350/]
Rotexy라고 불리는 모바일 멀웨어가 스파이웨어에서 수많은 새로운 영리한 기능을 제공하는 은행 트로이 목마로 진화하였다. 연구원들은 8월~10월 사이에 주로 러시아에 위치한 목표물에 7만 건의 공격이 발생했다고 보고했다. 현 버전의 Rotexy는 은행 트로이목마에 랜섬웨어 기능을 결합한 것으로, SMS 메시지 도청 뿐 아니라 은행 카드 번호 탈취 및 장치 화면 조작 기능까지 갖추고 있는 것으로 밝혀졌다. 현재 악성코드는 사용자에게 앱 설치를 요구하는 피싱 SMS로 전송된 링크를 통해 전파된다. 시작 시 앱은 장치 관리자 권한을 요구하고, 해당 C&C 서버와 통신을 시작한다. 또한 이러한 관리자 권한을 취소하려는 시도를 탐지하면 정기적으로 전화 화면을 끄고 사용자 작업을 중단하려고 시도하며, 권한이 성공적으로 해지되면 트로이 목마는 관리자 권한을 지속적으로 다시 요청하게 된다. 다행히 악성코드로 인해 화면이 차단되고 있는 이들에게 해당 공격을 막을 수 있는 방법이 존재한다. 바로 차단된 장치에 텍스트 메시지로 숫자 3458을 보낸 후 stop_blocker 명령을 실행하는 것이다. 전문가들은 이후 사용자에게 장치를 안전모드로 재부팅하여 악성 프로그램을 삭제할 것을 당부하였다.

 


4. [기사] Crypto Mining Malware Infects Make-A-Wish-Foundation Website
[https://hackercombat.com/crypto-mining-malware-infects-make-a-wish-foundation-website/]
해커들이 세계에서 가장 유명한 어린이 재단의 사이트를 표적으로 삼았다. 이들은 해당 사이트를 암호화폐 채굴 악성 코드에 감염시킨 것으로 드러났다. 해당 공격을 통해 해커들은 해당 사이트에 방문하는 사용자들의 컴퓨팅 파워를 사용하여 암호화폐를 채굴하였다. Trustwave의 연구원들은 해당 웹사이트가 Drupalgeddon2 버그로 인해 손상되었을 수 있다고 추측하고 있다. 이후 해당 재단은 악성 스크립트를 식별하여 제거하였다. 해당 멀웨어는 영국 기업의 59% 이상을 대상으로 삼아 공격하였고, 브라질 및 인도에도 해당 공격이 가해졌다. ET의 보안 연구원은 많은 수의 온라인 방문객들이 접속하는 사이트이고, 이러한 사용자들이 갖는 신뢰 때문에 정부 웹사이트들이 주로 표적이 되고 있다고 경고했다.

 


5. [기사] 북한의 라자루스, 최근 라틴 아메리카 금융권 공격해
[https://www.boannews.com/media/view.asp?idx=74922&page=1&mkind=1&kind=1]
Trend Micro에서 북한의 해킹 그룹으로 추정되고 있는 라자루스가 최근 라틴 아메리카의 금융권을 공격했다고 발표하였다. 이들은 라자루스가 주로 사용하는 백도어가 라틴 아메리카 지역의 여러 금융 기관들에서 발견되었다고 보고하면서, 이 백도어가 여러 기계에 설치된 것은 9월 19일로 확인되었다고 덧붙였다. 해당 공격 수법은 2017년 라자루스 그룹이 아시아 지역을 대상으로 실시했던 해킹 공격과 유사하다. 당시 이들은 FileTokenBroker.dll을 통해 DLL 인젝션 공격을 수행하였는데, 최근 라틴 아메리카 지역에서도 이 파일이 발견되었다. 이들은 여러 개의 백도어를 한꺼번에 사용하였다. 공격 또한 세 가지 요소를 동원한 복잡한 전략으로 이루어졌다. 이 세 가지 요소는 로더 DLL, 암호화된 백도어, 암호화된 설정파일이다. Trend Micro에서는 라자루스 그룹이 숙련된 해킹 그룹으로 툴과 전략에 잦은 변화를 주고, 이를 통해 다양한 방어 체계를 무력화 시키기 때문에 탐지가 어려운 점을 강조하였다.

첨부파일 첨부파일이 없습니다.
태그 SIM Swap 공격자 체포  Spotify 피싱 공격  Rotexy 모바일 멀웨어