Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향[2019년 2월 11일] 주요 보안 이슈
작성일 2019-02-11 조회 426

1. [기사] "국내 버스 앱에서 악성코드 발견... 군사, 안보 관련 파일 유출"
[https://news.naver.com/main/read.nhn?mode=LSD&mid=sec&sid1=001&oid=001&aid=0010624962&viewType=pc&fbclid=IwAR22sAgAq8JfWpToAygXi9rJA3paLlJYdRpWd3ebcQfzZfiznCabNW-OoP8https://news.sbs.co.kr/news/endPage.do?news_id=N1005129785&fbclid=IwAR35fya4v9J2SqqxLXODO8YpiRSQ3zs6vv_BN82G9pdfJoCiqpFF7uHtzDkhttps://www.boannews.com/media/view.asp?idx=76779&page=1&kind=1]
국내 대도시의 버스 정보를 알려주는 악성코드 앱에서 사용자 정보를 빼돌리는 악성코드가 발견됐다. 발견된 앱은 '대구 버스', '광주 버스','전주 버스','창원 버스' 안드로이드 앱의 특정 버전이며, 주요 기능으로는 스마트폰에서 특정 키워드가 들어 있는 파일을 찾아 외부 서버로 유출하는 기능을 갖추고 있다. 해당 키워드는 '북한', '국정원', '청와대', '문재인', '작계', '대장', '전차', '사단', '기무사', '국회', '통일부' 등이다. 이 앱은 구글플레이에 올라온 자체로는 악성코드로 판별되지 않아 구글의 감시를 피할 수 있었던 것으로 분석되며 이 앱을 설치하면 곧바로 악성코드가 담긴 추가 플러그인이 다운로드 된다. 맥아피는 없기에 한동안 구글의 감시를 피할 수 있었던 것으로 보인다. 맥아피는 "이 악성코드는 흔한 피싱을 위해 만들어진 게 아니라 매우 표적화된 공격으로 피해자의 스마트폰에서 군사 및 정치와 관련된 파일을 찾아 기밀 정보를 유출하려는 것으로 보인다."고 분석했다.

 

2. [기사] ‘긴급 통신!’ ‘즉시 읽으십시오’ 혹스 메일 또 대량 유포중
[https://www.boannews.com/media/view.asp?idx=76777&page=1&kind=1]
“귀하의 계정이 해킹당했습니다”, “당신이 즐겨보던 성인 사이트 알고 있다” 등의 제목으로 유포돼 지난해 큰 피해를 일으켰던 사기 메일, 일명 혹스(Hoax) 메일이 8일부터 국내에 대량 유포되고 있는 것으로 드러났다. 이번엔 “긴급 통신!” “즉시 읽으십시오”라는 메일 제목으로 사용자들의 관심을 끈 후, 계정 해킹을 빌미로 가상화폐를 요구하고 있다. 해당 메일을 열어보면, 수신자의 이메일이 해킹됐다는 내용과 함께 수신자의 사생활이 녹화되었으며 이러한 사실이 폭로되는 것을 원하지 않는다면 300$의 비트코인을 송금하라고 협박한다. 이번 혹스 메일과 관련해 ESRC 측은 “이메일에 언급된 내용은 모두 사실이 아니기 때문에 해당 메일 혹은 해당 메일과 유사한 메일을 수신한 사용자들은 바로 삭제를 하면 된다.”며, “또한 같은 내용은 아니더라도, 유사한 내용으로 혹스 메일이 지속해서 유포될 것으로 예상되는 만큼 주의가 필요하다”고 당부했다. 

 

3. [기사] GandCrab ransomware campaign targets Italy using steganography
[https://securityaffairs.co/wordpress/80875/malware/gandcrab-ransomware-steganography.html]
Broinum의 보안 연구가에 따르면 갠드크랩 랜섬웨어를 숨기기 위해 마리오 그래픽 패키지에 스테가노그래피를 이용한 흔적을 발견했다고 한다. 발견된 기법은 마리오 그림에서 파란색과 녹색의 하위 4비트만 조작하여 파워셸 명령과 함께 사용되며, 방화벽 및 기타 방어 시스템에서 위협을 탐지하기 어렵게 만든다. 전문가들은 난독화 된 파워셸의 주소에서 샘플을 다운로드 할 수 있었으며 갠드크랩 랜섬웨어(Gandcrab ransomware)의 샘플을 발견했다. 또한, 현재 공격대상은 이탈리아지만 다른 국가로 확대될 것이라고 지적했다.

 

4. [기사] New Linux coin miner kills competing malware to maximize profits
[https://securityaffairs.co/wordpress/80892/malware/linux-coin-miner.html]
트렌드 마이크로의 보안 전문가들은 리눅스 플랫폼과 XMR-Stak Cryptonight 암호 해독기를 설치하는 새로운 코인 마이너를 발견했으며, 감염된 컴퓨터에 존재하는 다른 리눅스 악성코드와 코인 마이너를 죽이는 것을 확인했다. 주요 특징으로는 시스템을 재부팅 하거나 삭제할 때 실행을 유지할 수 있도록 크립트오커런시-마이닝 악성코드(cryptocurrency-mining malware)를 설치하고 시스템과 크론탭(crontab)에 이식한다. 또한 감염은 TCP 포트 8161을 통해 일부 IP 카메라 및 웹 서비스에서 시작되었다. 트렌드 마이크로는 다른 악성코드를 제거하는 루틴이 새로운 것은 아니지만, 지금까지 규모가 큰 시스템에서 리눅스 악성코드를 제거한 적이 없었다고 한다. 하지만, 경쟁 악성코드 제거는 사이버 범죄자들이 수익을 극대화하는 한 가지 방법일 뿐이라고 일축했다.

 

5. [기사] Phishing campaign leverages Google Translate as camouflage
[https://securityaffairs.co/wordpress/80835/cyber-crime/google-translate-phishing.html]
아카마이(Akamai)사의 보안 전문가에 따르면 사이버 범죄자(cybercriminals)들이 구글 번역을 활용하는 새로운 피싱 공격을 수행하고 있다고 한다. 피싱 캠페인은 구글과 페이스북 계정을 대상으로 하며, 사용자가 피싱 메시지에 포함된 링크를 클릭하면 구글 번역 페이지로 리다이렉션되어 구글 계정 로그인으로 보이는 피싱 페이지를 연다. 이러한 종류의 공격은 번역 툴바가 보이기 때문에 데스크톱 브라우저 사용자가 쉽게 발견할 수 있지만, 모바일 브라우저에서는 인터페이스 간소화로 인해 확인하기 어렵다고 한다. 전문가에 따르면 피싱 공격을 방지하기 위해서는 어떤 행동을 취하기 전에 시간을 내어 메시지를 완전히 검사하는 것이 중요하다고 당부했다.

첨부파일 첨부파일이 없습니다.
태그