Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향 [2019년 3월 5일] 주요 보안 이슈
작성일 2019-03-05 조회 595

1. [기사] 헌법재판소·한국은행 사칭 악성메일 유포
[http://www.datanet.co.kr/news/articleView.html?idxno=131553]
닷네임코리아는 헌법재판소와 한국은행을 사칭하는 메일이 유포되고 있으며 이 메일에는 악성 트로이안 목마가 첨부되어 있다고 4일 밝혔다. 헌법재판소 사칭 메일에는 재판소에 출두해야 한다는 내용과 재판 내용에 대한 사건 자료가 첨부되어 있다고 안내하여 첨부파일을 열도록 유도하는 방식으로 감염된다. 한국은행 사칭 메일도 마찬가지의 방식으로 온라인뱅킹 계정이 정지되었다고 안내하여 첨부파일을 열도록 유도한다. 강희승 닷네임코리아 대표는 “해당 사칭 메일들은 권위 있는 기관들을 활용하여, 평소 피싱 사기에 민감한 일반인들도 방심하게 만들어 피해가 크다”며 “이러한 종류의 피싱 메일의 유형을 알고 피해를 예방해야 한다”고 말했다.

 

2. [기사] Experts collect more evidence that link Op ‘Sharpshooter’ to North Korea
[https://securityaffairs.co/wordpress/81924/apt/sharphooter-north-korea.html]
보안 업체 맥아피(McAfee)의 전문가들이 샤프슈터(Sharpshooter) 공격이 북한의 해킹 단체인 라자루스(Lazarus)와 관련된 증거를 더 확보하였다고 밝혔다. 샤프슈터 공격은 2018년 12월 맥아피가 발견한 공격으로, 정보를 수집할 목적으로 핵, 방위, 에너지 및 금융 회사들을 공격한다고 알려졌다. 전문가들은 1) 채용으로 위장한 공격 기법이 사용되었고, 2) 코드의 주요 부분이 PHP 및 ASP로 작성되었으며, 3) Rising Sun을 구성하는 다양한 구성요소들이 모두 독립적으로 개발된 것이 확인되었으며, 이는 모두 라자루스의 특징과 겹친다고 밝혔다. 또한 C&C 서버 코드 및 파일 로그 분석을 통해 아프리카 국가인 나미비아의 IP 주소를 사용하여 공격을 미리 연습한 흔적이 발견되었으며 공격이 2017년 9월 시작되어 지금까지 이어지고 있다고 덧붙였다.

 

3. [기사] 모의 해킹 툴, 코발트 스트라이크에서 발견된 버그 덕분에
[https://www.boannews.com/media/view.asp?idx=77461&page=1&kind=4]
보안업체 폭스IT가 침투 테스트 툴인 코발트 스트라이크(Cobalt Strike)에서 발견된 취약점 때문에 공격자의 서버를 찾아낼 수 있다고 밝혔다. 코발트 스트라이크는 해커들의 공격을 시뮬레이션 하기 위해 개발된 툴로, 침투 테스터들은 물론 실제 해커들에게도 널리 사랑받고 있는 것으로 알려져 있다. 폭스IT는 “코발트 스트라이크 서버와의 통신은 침입 탐지 시스템(IDS) 시그니처와 기타 다른 기술을 통해 추적이 가능하다”며 보안 전문가들이 이를 활용해 실제 사용되고 있는 팀 서버들의 현황을 파악하는 게 가능하다고 밝혔다. 폭스IT는 2015년 1월부터 찾아낸 코발트 스트라이크 팀 서버 혹은 나노HTTPD 호스트들을 깃허브(https://github.com/fox-it/cobaltstrike-extraneous-space)를 통해 공개했다. 정상적인 침투 테스트 목적으로 사용된 사례들도 포함되어 있어 현재 여러 보안 업체들이 해당 목록을 검토하고 있는 것으로 알려졌다.

 

4. [기사] Researchers uncover ring of GitHub accounts promoting 300+ backdoored apps
[https://www.zdnet.com/article/researchers-uncover-ring-of-github-accounts-promoting-300-backdoored-apps/]
백도어가 설치된 Windows, Mac 및 Linux 응용 프로그램과 소프트웨어 라이브러리를 홍보하는 악의적인 GitHub 계정이 발견되었다. 해당 프로그램들에는 감염된 시스템의 부트 영속성을 얻고 악성코드를 다운로드할 수 있는 코드들이 포함된 것으로 밝혀졌다. DFIR.it 보안 팀에서 분석한 한 샘플은 Supreme NYC Blaze Bot(supremebot.exe)이라는 Java 기반 프로그램을 다운로드한다. 이는 봇넷에 감염된 시스템을 추가하여 나중에 한정판 스니커즈에 대한 온라인 경매에 참여할 수 있는 멀웨어로 밝혀졌다. 해당 멀웨어와 비슷한 파일들을 호스팅하고 있던 모든 GitHub 계정은 사용이 중지된 상태이다. 특히 앤드류 던킨스(Andrew Dunkins)라는 이름으로 등록된 한 계정은 ELF 바이너리 백도어 305개를 호스팅하고 있던 것으로 밝혀졌다.

 

5. [기사] Some Android VPN apps request access to sensitive permissions they don't need
[https://www.zdnet.com/article/some-android-vpn-apps-request-access-to-sensitive-permissions-they-dont-need/]
구글 플레이 스토어에서 제공되는 일부 안드로이드 VPN 어플리케이션들이 일반적인 VPN 어플이 사용하지 않는 사용자 권한에 대한 액세스를 요청하는 것으로 밝혀졌다. TheBestVPN.com의 John Mason은 구글 플레이 스토어를 통해 다운로드할 수 있는 81개의 어플을 분석한 결과, 81개 중 50개의 어플이 사용자 데이터에 접근하는 하나 이상의 위험한 권한에 대한 액세스를 요청했다고 말했다. 그는 외부장치 저장소 읽기/쓰기, 정확한 위치 데이터, 시스템 설정 읽기/쓰기, 통화 로그 등은 VPN 응용 프로그램 동작을 위해 필요하지 않다며, 해당 권한을 요구하는 어플들을 구글 스프레드 시트(https://docs.google.com/spreadsheets/d/1SWfuh5JQQv7Yv7APIUoim-rdrtHaLz0ZUNyqdcIhbWg/edit#gid=714762400)에 정리하여 공유했다. 그가 공개한 어플들 중에는 'Yoga VPN', 'proXPN VPN', 'Hola Free VPN', 'Seed4.Me VPN' 등이 포함되어 있다.

첨부파일 첨부파일이 없습니다.
태그 Sharpshooter  Lazarus  백도어