Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향[2018년 12월 12일] 주요 보안 이슈
작성일 2018-12-12 조회 660

1. [기사] Hackers Steal Over 40k Logins for Gov Services in 30 Countries
[https://www.bleepingcomputer.com/news/security/hackers-steal-over-40k-logins-for-gov-services-in-30-countries/]

피싱 공격으로 인해 유출된 4만명 이상의 계정 정보가 정부 서비스 계정을 사용하는데 이용되었다. 해당 계정 정보들은 30개국의 정부 서비스에서 사용된 것으로 밝혀졌다. 대부분의 피해자는 이탈리아에 있었고, 사우디 아라비아와 포르투갈 등도 포함되었다. 해당 공격은 사용자의 이름과 비밀번호를 악성 스파이웨어 도구로 알려진 Pony Formgrabber, AZORult, 그리고 Qbot (Qakbot)를 사용하여 악성 이메일을 퍼뜨려 수집했다. 이메일은 개인과 기업 모두를 노렸으며 합법적인 첨부 파일로 위장했다. 첨부 파일을 열게 되면, 악성코드가 다운되고 개인정보를 찾기 시작한다. Pony 도구는 70개 이상의 소프트웨어 프로그램을 상대로 설정 파일, 데이터베이스 등에서 개인 정보를 서칭했다. 수집한 개인정보는 공격자의 C2서버로 전송된다. AZORult는 웹브라우저에서 패스워드를 탈취하고 암호화폐와 관련된 데이터를 찾는다. QakBot and PinkSlip이라고도 알려진 Qbot은 10년 이상 활동한 다용도 은행 트로이 목마다. 웜의 기능도 포함하여 네트워크에서 전파할 수 있으며 웹 세션, 쿠키 등을 탈취할 수 있다. 또한 키로깅 기능이 포함되어 있다. 해당 정보를 통해 정부 웹 사이트에 침입하여 국가 기밀이 도난당할 수 있다고 말했다.


2. [기사] Linux.org Redirected to NSFW Page Spewing Racial Epithets
[https://threatpost.com/linux-org-redirected-nsfw/139776/]

리눅스 사는 리눅스의 메인 도메인인 Linux.org가 해킹과 DNS 하이채킹 공격으로 훼손되었다고 말했다. 누군가가 도메인에 대한 등록자 계정을 손상시키고 DNS를 다른 서버로 설정할 수 있을 뿐만 아니라 관리자가 몇 시간 동안 도메인 계정을 다시 변경하지 못했다고 말했다. 해커들은 도메인 이름을 무례한 페이지[NSFW]로 가리켰다. 해당 페이지는 인종적 욕설을 포함한 사진과 함께 "G3T 0WNED L1NUX N3RDZ"라고 선언하며 화면을 띄웠다. 리눅스 개발자 Coraline Ada Ehmke에 책임이 있다고도 언급되었다. 공격자들은 리디렉션된 페이지를 이용해 그녀에게 추후 이메일과 집주소를 다른 세부 정보와 함께 게시했다고 보고했다. Cloudflare는 결국 악성 서버를 차단하고 Linux.org 제어 권한을 해당 소유자에게 반환했다. 등록 담당자와 여러 차례 접촉한 후, 상황을 통제할 수 있었다고 말했다. 서버 환경은 영향받지 않아 데이터에 대한 걱정은 없다고 말했다.


3. [기사] Cobalt Bank Robbers Use New ThreadKit Malicious Doc Builder
[https://www.bleepingcomputer.com/news/security/cobalt-bank-robbers-use-new-threadkit-malicious-doc-builder/]

금융회사와 은행 네트워크 침해 전문인 코발트 해킹 단체는 현재 마이크로소프트 오피스 문서용 ThreadKit 새로운 변형 프로그램을 사용하고 있다. 10월 30일 캠페인에서 관찰된 새로운 전술은 ThreadKit 매크로 전송 도구의 발전을 보여준다. 이 방법으로 다운로드된 최종 페이로드는 코발트 그룹의 대표 악성 프로그램인 CobInt이다. ThreadKit 전달에서 재작성된 실행 파일이 CobInt의 다운로더이며, 이 그룹은 메인 코드를 리소스 섹션에 숨겼다. CobInt, COOLPANTS라고도 알려진 이것은 코발트 해커들이 운영하는 명령제어(C2) 서버에서 연구원들은 도메인("sepacloud[.]org")에서 다운받은 문서에서 유로 지불을 단순화하기위해 SEPA(Single Euro Payments Area)와 관련된 것처럼 가장하는 것을 통해 발전된 모습을 볼 수 있었다. 또한, 그들은 금융 기관을 가장하고 쉽게 사람을 속일 수 있는 도메인 이름을 사용한다. 단체의 활동은 올해 스페인에서 체포되었을 때 둔화되었다. 그러나 두 달 후, 코발트 작전은 보안 연구원들에 의해 다시 발견되었다.


4. [기사] Seedworm APT Group targeted more than 130 victims in 30 organizations since Sept
[https://securityaffairs.co/wordpress/78827/apt/seedworm-attacks.html]

Seedworm APT 그룹은 9월부터 NGO, 석유, 가스, 통신 등 30개 기관에서 130명 이상을 공격했다. MuddyWater라는 Seedworm APT 그룹이 빠르게 발전하여 통신, IT 서비스, 석유 및 가스 산업으로 목표를 확장하고 있다고 한다. 첫번째 캠페인은 2017년 말에 행해졌고, 사우디아라비아, 이라크, 이스라엘, 아랍에미리트(UAE), 조지아, 인도, 파키스탄, 터키, 미국의 기업을 대상으로 한 공격 탓에 이 캠페인을 'MuddyWater'라고 불렀다. 2018년 9월, Symantec의 전문가들은 브라질에 본사를 둔 석유 생산국의 한 컴퓨터에서 Seedworm과 APT28의 증거를 발견했다. 전문가들은 시드웜 APT가 통신과 IT 서비스에 초점을 맞추고 있다고 보고 있다. 최근 캠페인에서 이 그룹은 새로운 Powermud 백도어, 역 쉘, 권한 상승을 위한 도구를 사용하는 등 정기적으로 새로운 기술 및 도구를 도입한다. 또한, 명령-제어(C&C) 위치를 숨기기 위해 프록시 네트워크 뒤에서 Powermud 백도어를 제어한다. 일단 기계가 백도어들로 손상되면, 브라우저, 이메일 계정, 소셜 미디어, 채팅 액세스에 저장된 암호를 훔치는 도구를 배포한다. Seedworm 그룹은 특정 상황에 신속하게 대응할 수 있는 능력에 더 초점을 맞췄다. 


5.  10가지 취약점 공략해 웜처럼 번지는 럭키 랜섬웨어
[https://www.boannews.com/media/view.asp?idx=75371]

사탄(Satan)랜섬웨어의 변종인 럭키 랜섬웨어가 발견되었다. 럭키는 랜섬웨어이면서 웜과 같은 행동 패턴을 보여주며, 따라서 사람의 특별한 개입 없이도 퍼질 수 있다. 윈도우 SMB, 제이보스(JBoss), 웹로직(WebLogic), 톰캣(Tomcat), 아파치 스트러츠 2(Apache Strusts 2), 스프링 데이터 커먼스(Spring Data Commons) 등에서 이전부터 발견된 취약점들을 모두 익스플로잇 할 수 있다. 따라서 감염을 통한 확산 능력이 엄청나며, 익스플로잇 도구나 방법이 공개된 것들, 심지어 최신 취약점들은 패치가 되어있지 않을 가능성이 크다. .lucky라는 확장자를 붙이며 금융 쪽 고객사 일부에서 문제가 생겼다. 해당 랜섬웨어를 통해 OS 취약점이 아닌 서버의 애플리케이션과 서비스를 노리는 것을 알 수 있다. 따라서  방화벽에서 이그레스 필터링(egress filtering) 혹은 그와 비슷한 기능을 발휘하도록 설정해야 한다고 권장한다. 또한 특수한 IP 주소들과 도메인에 대한 접근 요청을 늘 확인해야 한다.

첨부파일 첨부파일이 없습니다.
태그 Lucky  Cobalt  Seedworm APT