Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향[2018년 11월 28일] 주요 보안 이슈
작성일 2018-11-28 조회 843

1. [기사] Backdoor in Popular JavaScript Library Set to Steal Cryptocurrency
[https://www.bleepingcomputer.com/news/security/backdoor-in-popular-javascript-library-set-to-steal-cryptocurrency/]

매주 2백만 개 이상의 다운로드가 생성되는 자바스크립트 라이브러리에 암호화폐를 훔칠 수 있는 악성코드가 발견되었다. 영향을 받는 패키지는 Event-Stream으로, Node.js 스트리밍 모듈과의 작업을 간소화하도록 제작되었으며 npmjs.com 저장소를 통해 사용할 수 있다. 
연구원들은 라이브러리의 이전 버전에 위험한 코드를 포함하는 'flatmap-stream' 0.1.1버전 구성요소가 포함되는 것을 발견했다. 악성코드 분석 결과에 따르면, Copay 암호화폐 지갑 앱과 연관된 라이브러리를 타겟으로 하였다. 목표는 지갑에 있는 비트코인을 훔치려고 한 다음 capayapi.host와 말레이시아의 IP 주소 111.90.151.134에 연결을 시도하는 것이다. Copay가 사용하는 라이브러리를 사용할 때 시도가능하다. 사용자는 영향을 받는 지갑의 개인 키가 손상되었을 수 있으므로 즉시 새 지갑(v5.2.0)으로 옮겨야 한다. 


2. [기사] Pegasus Spyware Targets Investigative Journalists in Mexico
[https://threatpost.com/pegasus-spyware-targets-investigative-journalists-in-mexico/139424/]

카르텔 마약을 조사하다 숨진 기자의 동료들이 페가수스 스파이웨어의 공격 대상이 되었다. 동료들의 문자 메시지에는 RECKLESS-1이라고 불리는 멕시코 정부와 연계된 APT의 페가수스 감염 시도이었다. 분석된 6개 메시지 중 일부는 bit.ly으로 단축된 링크를 포함했으며, 알려진 공격 URL을 가리키는 링크가 포함되었으며, 다른 메시지에는 이전에 알려진 NSO 그룹 공격 도메인이 직접 포함되어 있었다. 링크를 클릭하면 페가수스 스파이웨어로 인해 기기가 자동으로 감염될 수 있다고 결론내렸다. 페가수스에는 사용자의 스마트폰, 키 입력, 전화기의 카메라 및 마이크를 제어하고 연락처 목록에 액세스하는 데 사용할 수 있는 다양한 스파이 기능이 포함되어 있다. 또한 페가수스는 암호화된 오디오 스트림을 듣고 암호화된 메시지를 읽을 수 있다는 점도 주목할 만하다.
페가수스는 이스라엘에 기반을 둔 NSO 그룹에 의해 개발되었는데, FinFisher, Vupen, Zerodium와 같은 팀도 포함된다. 이러한 기업들은 제로 데이 악용과 해킹 도구를 개발하는 데 특히나 많은 돈을 투자한다. 


3. [기사] 8 Popular Android Apps Caught Up In Million-Dollar Ad Fraud Scheme
[https://thehackernews.com/2018/11/android-click-ad-fraud.html]

Clean Master and Battery Doctor와 같은 인기 있는 유틸리티 앱으로 유명한 중국의 유명 앱 회사인 Cheetah Mobile과 자회사인 Kika Tech가 광고주들로부터 수백만 달러를 가로채는 Android 광고 사기에 휘말린 것으로 알려졌다. Cheetah Mobile이 개발한 안드로이드 앱 7개와 구글 플레이스토어에서 총 20억 개의 다운로드를 받은 Kika Tech가 새로운 앱의 설치 비용을 부당하게 청구한 혐의를 받고 있다. 많은 모바일 애플리케이션 개발자들은 일반적으로 $0.5에서 $3.00 사이의 요금 또는 인센티브를 받고 앱 내에 다른 앱 설치를 촉진하고 권장함으로써 수익을 창출한다. 
다음은 Cheetah Mobile 앱 7개와 2016년 Cheetah Mobile로부터 투자를 받은 Kika 앱의 목록이다. Clean Master, Security Master, CM Launcher 3D, Battery Doctor, Cheetah Keyboard, CM Locker, CM File Manager, Kika Keyboard. 따라서 나열된 앱이 설치되어 있는 경우 즉시 제거하는 것이 좋다. 이러한 앱들을 다운로드 받으면, 설치에서 아무런 일이 일어나지 않아도 다운로드에 대한 보상을 청구할 수 있다. 


4. [기사] Uber fined $1.1 million by UK and Dutch regulators over 2016 data breach
[https://thehackernews.com/2018/11/uber-data-breach-fine.html]

영국과 네덜란드의 데이터 보호 규제 당국은 화요일 수백만 명의 사용자가 참여한 2016년 사이버 공격에서 고객의 개인 정보를 보호하지 못한 데 대해 총 1,170,892달러(약 110만 달러)의 벌금을 부과했다. 지난해 말 우버는 10월 엄청난 데이터 침해로 인해 약 60만 명의 운전자와 함께 5천7백만 명의 우버승객과 운전자들의 이름과 이메일 주소, 전화번호가 유출되었다. 영국 정보국(ICO)은 Uber에 385,000 파운드(491,102달러)의 벌금을 부과했으며 네덜란드 데이터 보호 당국은 174만 유로(약 679만790달러)의 벌금을 부과했다. 네덜란드 DPA는 우버가 데이터 위반이 발견된 지 72시간 이내에 네덜란드 DPA와 데이터 피해자에게 보고하지 않았기 때문에 벌금을 부과한다고 설명했다. ICO는 또한 공격자가 손상된 사용자 이름과 비밀번호 쌍을 "기존 계정"과 일치시킬 때까지 웹사이트에 주입하는 스터핑 공격을 사용하여 Uber의 클라우드 기반 스토리지 시스템을 손상시킬 수 있음을 확인했다. 2018년 5월 유럽연합의 GDPR(General Data Protection Regulation)이 발효되기 전에 데이터 위반이 발생했으므로, 1998년 영국의 구 데이터 보호법에 따라 부과된 385,000파운드는 적다고 말했다. 


5. [기사] 4년 간 진화한 스파이웨어, 이제 뱅킹 트로이목마 겸 랜섬웨어
[https://www.boannews.com/media/view.asp?idx=74990&kind=1&sub_kind=]
 
로텍시(Rotexy) 악성코드가 스파이웨어에서 여러 가지 기능을 탑재한 뱅킹 트로이목마가 된 상태라고 한다. 연구에 따르면 로텍시는 지난 8월부터 10월 사이 주로 러시아에서 약 7만 번의 공격을 감행했다. 로텍시는 2014년 10월 처음 발견됐고, SMS 메시지를 훔쳐보던 단순한 멀웨어가, 이제는 기기 화면 조작 기능까지 탑재하게 되었다고 말했다. 로텍시의 가장 기본이 되는 특성은 C&C 서버 역할을 하는 것이 세 가지나 된다는 것이다. 하나는 전통적인 C&C 서버이고 나머지 둘은 단문 메시지와 구글 클라우드 메시징(GCM) 플랫폼이다. 명령과 제어가 가능한 통로가 세 군데나 된다는 건 유연성이 뛰어나다는 것이다. 로텍시의 최신 버전은  ‘특정 앱을 설치하라’는 링크가 포함된 피싱 문자로 퍼진다. 링크를 누르면 동시에 C&C 서버와의 통신을 시작한다. 보통 로텍시에 당하면 화면이 잠기는 현상이 나타날 텐데, 다른 전화기나 서비스를 활용해 잠긴 전화기로 3458이라는 문자를 보내고, stop_blocker라는 명령어를 전송하면 된다. 곧 업데이트된 로텍시가 나오기 전까지 유효한 해결책이다.

첨부파일 첨부파일이 없습니다.
태그 Pegasus  Android  Uber  Rotexy