Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향[2019년 2월 25일] 주요 보안 이슈
작성일 2019-02-25 조회 614

1. [기사] 내용과 정보 계속해서 바꾸는 피싱 이메일 공격 발견돼
[https://www.boannews.com/media/view.asp?idx=77277]
보안 업체 그레이트혼(GreatHorn)은 트로이목마를 퍼트리는 새로운 이메일 캠페인을 발견했으며, 여기에 피싱용 이메일 내용을 빠르게 바꾸는 전략이 추가됐다고 발표했다. 보안 전문가에 따르면 이 캠페인은 일정한 패턴이 나타나지 않고 있어 식별과 차단이 쉽지 않다고 한다. 이 이메일 피싱 공격은 본문 내용과 제목을 계속해서 바꾸고 있으며 공격 대상도 정하거나 무작위로 선정하기도 한다. 즉, 피싱 이메일 콘텐츠를 자주 변경하는 공격법은 큰 맥락에서 보면 시그니처를 바꾸는 시도와 다르지 않다. 추가로, 공격에 사용되는 침해된 이메일 계정들은 주로 남미 기업들인 것으로 확인됐다. 전문가는 이번 공격이 진행 자체는 기존의 것과 거의 비슷하다고 언급했으며, 영수증이나 청구서를 가장한 피싱 메일은 60%의 빈도로 사용되며, 효과가 높으니 주의해야 한다고 당부했다.

 

2. [기사] 수많은 계정에 쏟아지는 비밀번호 추측 공격, 어떻게 막나?
[https://www.boannews.com/media/view.asp?idx=77255&kind=14]
자동화된 온라인 비밀번호 추측 공격이 증가하고 있으며, 현재 이 단순하고 무식한 공격법이 웹 서비스 제공 사업자들에게 가장 큰 위협이 되고 있다. 이에 두 명의 보안 전문가들이 새로운 대처법을 샌디에이고에서 열리는 NDSS 심포지엄에서 발표할 예정이다. 온라인 비밀번호를 갈취하려는 시도에 대해 기본적으로 비밀번호 입력 횟수를 제한하는 것이 주를 이룬다. 하지만 입력 횟수 제한은 비밀번호 추측 공격과 같은 넓은 범위의 공격에선 취약할 수밖에 없다. 이번에 새롭게 제시되는 방법은 트래픽에서 정상 및 악성의 비율을 파악한 후 분류 및 식별하는 것이다. 전문가는 이번 발표가 비밀번호 보호라는 부분에 있어 인식 제고와 조직들이 따라 하거나 구현하기 쉬운 방법을 제시할 수 있을 것이라 말했다.

 

3. [기사] Fbot malware targets HiSilicon DVR/NVR Soc devices
[https://securityaffairs.co/wordpress/81567/malware/fbot-malware-hisilicon.html]
360 Net lab의 전문가들은 2019년 2월 16일부터 많은 수의 HiSilicon DVR/NVR Soc 장치가 Fbot 봇의 업데이트된 버전에 감염된 것을 확인했다. 전문가들은 HiSilicon 장치를 기반으로 실행되는 특정 OEM 응용 프로그램의에 루트 문제가 발생했다고 보고 있으며, 총 24528개의 감염 IP 주소를 발견했다. 이번 공격에는 공격자가 DVRIP 프로토콜의 취약점을 사용해서 공격했고, Fbot 봇넷에 텔넷 백도어를 설치했다. 추가로, 발견된 URL은 http://185.61.138.13:8080/fbot.arm5.u, http://185.61.138.13:8080/fbot.arm7.u이며 다운로더 샘플은 9000 포트를 통해 전달 및 실행된다. 전문가들은 Fbot에 5가지 DDoS 공격 벡터가 있으며, 빠른 보안 업데이트를 수행하겠다고 말했다.

 

4. [기사] Crooks offer millions to skilled black hats to help them in extortion campaigns
[https://securityaffairs.co/wordpress/81555/cyber-crime/cybercriminals-extortion.html]
보안 회사인 Digital Shadow에 따르면 사이버 범죄 조직들은 숙련된 해커와 악성코드 개발자에게 수백만 달러를 기꺼이 지급할 용의가 있다고 한다. 다크 웹 포럼의 게시물을 분석한 결과, 전문 해커에게 매달 64,000달러(연 768,000달러), 숙련된 해커의 경우 매달 3만 달러(연 36만 달러) 이상을 지급할 용의가 있는 것으로 확인됐다. 전문가들은 이렇게 높은 봉급이 버그 포상 프로그램을 포기하고 사이버 범죄 분야에 참여하는 숙련된 전문가들에게 동기를 부여할 수 있다고 말했다. Digital Shadow는 사이버 범죄 조직이 2018년 몸캠피싱을 통해 33만 달러 이상을 벌어들였다고 한다. 몸캠피싱을 주제로 하는 이메일은 2017년 말부터 발견됐으며, 2018년 7월부터 2019년 2월까지 89,000개의 이메일 주소로 790,000건의 메일이 보내졌고 현재, 관련 샘플을 수집 및 분석 중이다. 사이버 범죄 조직과 관련된 또 다른 사레는 해킹 그룹 다크 오버로드가 911 테러와 관련된 650건의 기밀문서에 대한 첫 번째 암호 해독 키를 게시한 사건이다. 이 그룹은 Pastebin에 문서를 게시하는 것을 피하고자 법률 회사가 비용을 지급 했더라도 문서를 판매하기로 했다고 발표했다.

 

5. [기사] Campaigns through LinkedIn ’s DM deliver More_eggs backdoor via fake job offers
[https://securityaffairs.co/wordpress/81545/hacking/linkedin-phishing-campaign.html]
Proofpoint의 연구원은 LinkedIn의 직접 메시지전달 서비스 취약점을 사용하는 악성코드를 발견했다. 이 악성코드는 인력 파견 회사인 것처럼 가장하여 가짜 웹 사이트로 접속을 유도한다. 피해자가 유도된 웹사이트에 접속하면 악성 페이로드를 호스팅하여 More_egg를 배포한다. 초기에 공격자는 합법적으로 LinkedIn 프로필을 만든 후, "Hi [Name], please add me to your professional network" 제목의 짧은 메시지로 초대장을 보내 대상을 지정했다. 하지만 최근에는 URL이 포함된 PDF 및 기타 첨부 파일 사용이 확인되고 있으며, Word 파일에서 매크로가 활성화되면 More-eggs 페이로드가 다운로드되어 실행되는 것도 확인됐다. 추가로, More_eggs 페이로드를 전달하기 위해 JScript 로더를 다운로드 하는 것도 확인됐다. 전문가들은 이번 캠페인이 금융기관의 담당자들을 상대로 시작된 캠페인 사이에 유사점이 있다고 보고 있으며, 주요 유사점은 1) 기존에 사용된 PDF와 유사한 이메일 첨부 파일 사용 2) 같은 도메인에서 호스팅 되는 URL 포함이다.

첨부파일 첨부파일이 없습니다.
태그 피싱 이메일  비밀번호 추측 공격  Fbot 악성코드  extortion  More_eggs