Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향[2018년 12월 20일] 주요 보안 이슈
작성일 2018-12-20 조회 577

1. [기사] NASA Warns Employees of Personal Information Breach
[https://thehackernews.com/2018/12/nasa-hack-data-breach.html]

미 항공우주국은 화요일 전 직원들에게 알려지지 않은 해커들이 현재 및 이전 직원들의 주민등록번호를 포함한 개인 신상정보(PII)를 저장하는 서버 중 하나에 접근했다고 말했다. 나사는 침입을 발견한 후 서버를 조사하여 데이터 유출의 범위를 결정하고 잠재적으로 영향을 받는 개인을 식별하고 있다고 통보했다. 해당 사건으로 우주 업무는 위험에 처하지 않았다. 2006년 7월부터 2018년 10월까지 이 기관에 가입, 퇴사 또는 이관한 NASA 민간 서비스 직원은 누구나 자신의 개인 정보가 유출되었을 수 있다. 나사는 현재 약 17,300명의 사람들을 고용하고 있다. 모든 피해 직원들에게 신원 도용 보호 서비스 및 관련 자원을 제공할 것이라고 말했다. 이 기관의 서버가 손상된 것은 이번이 처음이 아니다. 나사는 2016년 한 해킹 단체가 비행기록과 수천 명의 직원들의 자격증명서를 포함한 276GB의 데이터를 공개했을 때 대규모 보안 위반을 겪었다. 당시 해커들은 2억2200만 달러 규모의 무인기를 태평양으로 추락시켜 비행로를 바꿔 조종하려 했다.


2. [기사] Russia-linked Sofacy APT developed a new ‘Go’ variant of Zebrocy tool
[https://securityaffairs.co/wordpress/79007/apt/zebrocy-backdoor-go-language.html]

연구원들은 러시아와 연계된 Sofacy APT가 Go 프로그래밍 언어를 사용하여 그들의 Zebrocy 백도어의 새로운 버전을 썼다는 것을 발견했다. Sofacy APT 그룹은 2007년부터 활발하게 활동했으며 정부, 군대, 보안 업체를 공격해왔다. 연구원들은 4월에 1단계 악성코드를 분석했고 10월과 11월에 수많은 공격에 사용되었다는 것을 발견했다. 11월에 Palo Alto Networks는 Sofacy APT가 새로운 공격 물결에 새로운 트로이 목마를 사용하고 있다는 것을 알아차렸다. Zebrocy 변종의 이전 도구들은 AutoIt, 델파이, VB.NET, C# 등의 여러 언어를 사용했다. 이번 Zebrocy의 Go 변종은 10월 11일에 발견되었다. PowerShell 스크립트를 실행하여 페이로드를 추출하는 LNK 첨부파일을 포함한 메시지를 사용하는 스피어 피싱을 수행했다. 손상된 시스템에 대한 정보를 수집하기 시작한 다음 명령 및 제어 서버에 전송한다. 수집한 데이터에는 실행 중인 프로세스 목록, "시스템info" 명령을 통해 수집된 정보, 로컬 디스크 정보 및 데스크톱 스크린샷이 포함된다. 


3. [기사] 백신 탐지 우회하는 악성 엑셀파일 발견
[https://www.boannews.com/media/view.asp?idx=75635&page=1&mkind=1&kind=1]

백신을 우회하는 수법으로 메일을 통해 유포되고 있는 DDE(Dynamic Data Exchange)를 이용한 악성 엑셀 파일이 발견되었다. DDE는 마이크로소프트 오피스 제품과 애플리케이션 사이에서 데이터 전달을 위해 제공하는 프로토콜로, 외부로 데이터 등을 전달할 수 있다. 일반적으로 VBA 매크로 코드를 이용해 악성기능을 수행하는데, 최근 포착된 공격 방식에선 VBA 매크로 코드를 이용하지 않고도 악성기능을 수행하는 것으로 분석됐다. 마이크로소프트는 2017년 12월 DDE 기능을 기본적으로 비활성화 한 바 있다. 그러나 엑셀 파일은 DDE 기능을 비활성화하지 않아 수식(Formula) 표현으로 여전히 프로세스를 실행할 수 있어 악성행위가 가능하다. 특히, 엑셀 문서 파일 형식인 *.xls 나 *.xlsx가 아닌 쉼표로 분리되는 텍스트 형태의 *.csv 파일 형식을 이용하여 무의미한 랜덤 문자를 다수 삽입해 파일 크기를 늘리는 등 다양화시킴으로써 백신 진단을 우회할 수 있는 것으로 드러났다. 악성 엑셀 파일이 DDE를 이용해 cmd 커맨드를 실행하게 되면 Powershell 프로세스 또는 bitsadmin 등을 이용해 웹 리소스에 접근한 뒤 악성 파일을 추가 다운로드 받는다. 의심스러운 메일에 첨부된 엑셀 파일일 경우에는 창에서 ‘아니오’를 클릭해 악성 프로세스가 실행되는 것을 방지해야 한다고 강조했다.


4. [기사] Twitter Suspects China & Saudi Arabia Over Recent Hack
[https://latesthackingnews.com/2018/12/19/twitter-suspects-china-saudi-arabia-over-recent-hack/]

트위터는 최근 공격 접촉 양식을 통해 국가가 지원하는 것으로 의심되는 사우디 아라비아와 중국과 관련 가능성을 제시했다. 소셜 네트워킹 사이트에 사이버 공격이 여러 번 발생했지만 국가가 지원하는 위협 행위자들의 개입은 경각심을 불러일으킨다. 트위터는 여러 건의 사이버 공격의 대상이 되면서 사이버 전쟁의 가능성을 암시하는 듯 하다. 보도에 따르면, 트위터의 지원 양식은 트위터에 연락해서 제3자가 트위터 사용자의 국가 코드와 계정 상태에 접근할 수 있도록 하는 데 사용될 수 있다. 트위터는 추가 조사를 통해 API와 연관된 특정 활동을 밝혀냈는데, 이는 고객 지원 양식과 관련된 악용될 수 있는 취약점으로 밝혀졌다. 모든 취약점은 패치되었다.  


5. [기사] 악성코드 설치하는 유도형 보이스피싱 주의!
[https://www.boannews.com/media/view.asp?idx=75624&page=1&mkind=1&kind=]

올해 1월부터 11월까지 경찰에 접수된 보이스피싱 피해규모는 총 3만 1,018건에 3,630억원 상당으로, 피해가 지속되고 있다. 특히 최근에는 피해자의 핸드폰을 악성코드에 감염시켜 속이는 수법이 빈번하게 사용되고 있어 각별한 주의가 요구된다고 경찰청은 밝혔다. 우선 사기범은 금융기관·수사기관 등을 사칭해 대출·수사 절차 진행 등을 위해 관련 ‘앱’을 설치해야 한다고 속인다. 구체적으로는 URL·도메인·IP주소 등을 알려주면서 관련 앱을 다운로드받으라고 하거나, 원격제어 앱을 설치하도록 한 뒤 사기범이 직접 피해자 핸드폰에 악성코드를 설치하는 경우도 있었다.  또 사기범은 피해자가 잘 믿으려 하지 않는 경우 경찰·금감원·은행 등에 확인전화를 해보라고 유도한다. 피해자가 경찰·금감원·은행 등에 확인전화를 시도하는 경우 악성코드를 이용해 해당 발신전화를 자신들이 직접 수신한다. 그러므로 경찰·검찰·금감원·금융기관이라며 출처 불명 앱을 설치하도록 하거나, 확인전화를 유도하는 경우 보이스피싱 가능성이 높으므로 주의해야 한다. 만일 핸드폰이 악성코드에 감염됐다고 판단되면, 스마트폰을 초기화하거나 백신을 이용해 악성코드를 삭제해야 한다. 또 악성코드 설치 유도 메세지를 받았다면 인터넷 ‘보호나라’에 접속해 ‘피싱사고’ 메뉴를 통해 신고해 줄 것을 당부했다.

첨부파일 첨부파일이 없습니다.
태그   NASA