Wins Security Information

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향[2019년 3월 20일] 주요 보안 이슈
작성일 2019-03-20 조회 791

1. [기사] 다시 부흥의 날갯짓 펼치는 랜섬웨어, 기존과 다른 전략 사용
[https://www.boannews.com/media/view.asp?idx=77920&page=2&kind=1]

지난해 랜섬웨어 공격이 91%나 줄어들었다. 전문가들은 갠드크랩(GandCrab) 랜섬웨어에서 영감을 얻은 공격자들이 '살포형' 공격 대신 돈을 낼 가능성이 높은 큰 조직들을 표적으로 삼아 집중 공격하는 전략을 택했기 때문이라고 분석했다. 공격자들은 침입한 네트워크 내에서 횡적으로 움직이며 랜섬웨어를 최대한 넓고 깊숙하게 퍼트리는 방법을 사용한다. 조직 전체에 가까운 규모로 마비 현상을 일으켜 기업들이 어쩔 수 없이 돈을 내도록 만들기 위해서다. 랜섬웨어 공격자들이 전략을 바꾸기 시작한 데는 쇼단(Shodan)이라는 검색 엔진도 한몫한 것으로 알려졌다. 쇼단을 통해 원격 데스크톱 프로토콜(RDP) 포트들을 검색함으로써 열린 포트를 찾아내는 등 표적형 공격을 위한 루트가 보다 쉽게 확보된 것이다. 게다가 공격자들은 시스인터널즈 프로세스 모니터(Sysinternals Process Monitor), 프로세스 해커(Process Hacker), LAN 서치(LAN Search)와 같은 정상 도구들을 사용하여 공격 대상의 네트워크를 분석, 백업 드라이브나 보안 소프트웨어를 제거하는 등의 사전 작업을 수행한 것으로 알려졌다. 전문가들은 돈을 지불하는 피해자들이 있는 한 랜섬웨어는 사라지지 않을 것이라며 사용자들의 각별한 주의가 필요하다고 당부했다.

 

2. [기사] Ransomware Attack Forces Aluminum Manufacturer to Shutdown Systems Worldwide
[https://thehackernews.com/2019/03/norsk-hydro-ransomware-attack.html]

세계적인 알루미늄 생산 업체인 노르스크 하이드로(Norsk Hydro)가 랜섬웨어에 감염되었다. 이로 인해 회사의 시스템 일부가 마비되어 미국과 유럽 등지의 일부 공장이 일시적으로 폐쇄되었고, 브라질과 카타르를 비롯한 나머지 공장들은 공정을 수동으로 전환하였던 것으로 알려졌다. 노르스크 하이드로는 공격이 노르웨이 현지 시각으로 월요일 자정에 시작되었으며 공격자들이 LockerGoga라는 랜섬웨어를 사용한 것 같다고 밝혔다. 또한 현재 회사 내 대응 팀이 백업 파일을 이용해 시스템을 복구하는 등 피해 최소화를 위해 노력하고 있으며, 자세한 진상 조사 작업 역시 함께 진행하고 있다고 덧붙였다. LockerGoga는 주로 .doc, .ppt 등 문서 파일을 암호화하고 .locked 라는 확장자를 덧붙이는 랜섬웨어로, 지난 1월 프랑스의 컨설팅 회사 Altran Technologies 공격에도 사용되었다. 

 

3. [기사] This updated trojan malware campaign targets fintech and cryptocurrency trading companies
[https://www.zdnet.com/article/this-updated-trojan-malware-campaign-is-targeting-fintech-and-cryptocurrency-trading-companies/]

보안 업체 팔로알토 네트웍스(Palo Alto Networks)가 Cardinal RAT의 새로운 버전 1.7.2를 이용한 공격을 발견했다고 발표했다. 이번 공격은 크레덴셜이나 암호 등을 탈취하려는 목적으로 핀테크 및 암호화폐 거래 업체들을 대상으로 했으며, 공격자들은 호기심을 자극하는 문구와 첨부파일을 넣은 악성 메일을 통해 피해자의 시스템을 감염시키는 전략을 사용한 것으로 알려졌다. 또한, .NET으로 컴파일된 악성코드를 BMP 이미지 파일에 심는 스테가노그래피 기법을 이용해 코드를 숨겨 탐지를 피하려고 했던 것으로 드러났다. 전문가들은 해당 멀웨어가 키로깅과 스크린샷 캡쳐 등을 이용해 피해자의 아이디와 패스워드 정보 등을 모아 공격자에게 전송하며, 목적을 달성하고 나면 브라우저의 쿠키를 지우고 스스로를 삭제하는 기능도 갖추고 있다고 밝혔다. 또한, 공격자를 추측할만한 단서는 아직 발견되지 않았으나 공격 대상 중 일부가 Evilnum이라는 멀웨어의 공격 대상이었다는 사실을 발견했다고 덧붙였다. 

 

4. [기사] 한국, 세계에서 네 번째로 많은 익스플로잇 키트 공격 발견
[https://www.boannews.com/media/view.asp?idx=77962&page=1&kind=1]

트렌드 마이크로(Trend Micro)가 2018 위협 결과 보고서를 통해 한국에서 지난해 총 1만 3,652건의 익스플로잇 키트 공격이 발견되었으며 전 세계 4위에 해당하는 수치라고 발표했다. 또한 한국 사이버 위협 환경의 또 다른 특징으로 많은 악성 URL '피해' 사례가 발견되었다는 점을 꼽았다. 트렌드 마이크로는 2018 글로벌 위협 트렌드도 함께 발표했다. 첫 번째 트렌드는 급격한 암호화폐 채굴 악성코드의 증가로 지난 한 해 동안 전년 대비 약 237% 증가한 1백만 건 이상의 암호화폐 채굴 악성코드가 감지된 것으로 밝혀졌다. 두 번재 트렌드는 고위 인사나 조직의 급한 요청에 응할 수밖에 없는 사람의 심리를 악용한 비즈니스 이메일 침해(Business Email Compromise, BEC)와 피싱(phishing) 공격의 증가이다. 특히 피싱의 경우 클라우드 기반의 office suite 환경 사용이 확대되면서 이에 대한 해킹 목적으로 급격히 증가했으며, 감지된 URL 수는 전년 대비 269% 늘어난 것으로 확인되었다. 김진광 트렌드 마이크로 한국 지사장은 “2018년 위협 환경의 변화는 사이버 범죄자들의 심리를 대변한다”며, 최근 가장 성행하는 공격은 계획적이고 목표가 확실하게 설정되어 있다고 밝혔다.

 

5. [기사] Mirai Variant Adds Dozen New Exploits to Target Enterprise IoT Devices
[https://thehackernews.com/2019/03/mirai-botnet-enterprise-security.html]

사물인터넷 봇넷으로 유명한 미라이(Mirai) 악성코드의 새로운 변종이 발견되었다. 전문가들은 해당 악성코드가 비즈니스 환경에서 사용하도록 설계된 임베디드 장치를 주요 대상으로 한다며, 공격자들이 대규모 DDoS 공격을 수행을 위해 더 큰 대역폭을 제어하려는 목적으로 만든 것으로 보인다고 밝혔다. 또한 일명 "multi-exploit battery"에 11개의 새로운 취약점을 추가하여 총 27개의 취약점을 활용해 공격한다고 덧붙였다. 이번 미라이 변종은 주로 Linksys, ZTE, DLink의 라우터와 네트워크 저장 창지, NVR, IP 카메라 등을 노리며, 진단을 통해 취약한 기기를 식별한 후 해당 기기에 새로운 미라이 페이로드를 다운로드받는다. 이렇게 감염된 기기는 공격자의 봇넷 네트워크에 추가되어 HTTP Flood DDoS 공격 등에 활용된다. 전문가들은 IoT 장치의 기본 암호를 변경하고 기기를 최신 버전으로 업데이트하는 것만으로도 공격에 예방할 수 있다며 관련 기업들의 관심을 촉구했다.

첨부파일 첨부파일이 없습니다.
태그 LockerGoga 랜섬웨어  Cardinal RAT  Mirai