Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향 [2019년 4월 11일] 주요 보안 이슈
작성일 2019-04-11 조회 410

1. [기사] 4년 동안 사라졌던 두쿠? 들키지 않았던 것뿐이었다
[https://www.boannews.com/media/view.asp?idx=78545&page=1&kind=1]
보안 전문 기업 크로니클(Chronicle)이 최근 두쿠(Duqu) 1.0과 두쿠 2.0 사이에 1.5 버전이 존재했다고 발표했다. 2011년 발견되어 주목을 받자 무려 4년 동안 조용히 있다가 2015년에 다시 활동을 재개한 것으로 알려져 있지만, 사실 활동을 들키지 않았을 뿐이라는 것이다. 크로니클의 연구원들은 평범해 보이는 커널 드라이버에서 복잡한 인메모리 멀웨어를 발견, 분석 결과 두쿠 2.0과 유사한 점이 많아 이러한 결론을 내리게 되었다고 밝혔다. 두쿠 1.5에 1) 카스퍼스키 백신 제품을 우회하는 기능이 있었고, 2) 압축 해제 및 언패킹 패턴, 암호화된 문자열과 동적으로 로딩된 API 호출들이 많다는 것이다. 또한 3) 네트워트 내에서의 횡적 움직임을 위해 윈도우 인스톨러 패키지(Windows Installer Packages)를 활용한 흔적도 발견되었다. 그러나 연구원들은 복구할 수 있었던 모듈이 얼마 없어 두쿠 2.0에서 발견된 '확장 모듈'이 1.5에서도 활용되었는지는 확실히 알 수 없었다고 덧붙였다.

 

2. [기사] Criminal Market Sells Over 60K Digital Identities For $5-$200
[https://www.bleepingcomputer.com/news/security/criminal-market-sells-over-60k-digital-identities-for-5-200/]
보안 업체 카스퍼스키 랩(Kaspersky Lab)이 카드와 아이덴티티 정보는 물론 피해자들의 신원이나 행동 패턴 등을 함께 판매하는 다크 웹 암시장 제네시스(Genesis)를 발견했다고 밝혔다. 여기서 거래하는 범죄자들은 사용자들을 완벽히 흉내 내는 일명 '디지털 도플갱어'를 만들어 활동한다. 사용하는 기기의 OS, 브라우저, GPU, DNS, 온라인에서의 행동 패턴 등 일반 사용자들이 온라인 세상에서 보이는 특징들을 '디지털 아이덴티티'라 하는데, 이를 이용해 실제 사용자인 양 행세하며 금융 기관의 사기 방지 시스템을 무용지물로 만든다는 것이다. 제네시스 내에서는 이를 '디지털 가면(digital mask)'이라고 부른다. 6만 개가 넘는 디지털 가면이 거래되고 있으며, 가격은 하나에 5달러에서 200달러까지 다양하다. 연구원들은 미국과 캐나다, 유럽 소비자들의 정보가 주로 거래되고 있었다고 밝혔다. 또한 현존하는 사기 방지 혹은 위조 방지 시스템으로는 디지털 가면과 로그인 크리덴셜을 같이 사용하는 도플갱어들을 파악하는 게 쉽지 않다며 다중 인증 옵션을 사용할 것을 권고했다.

 

3. [기사] Threat Group Uses Pastebin, GitHub In SneakyPastes Operation
[https://www.bleepingcomputer.com/news/security/threat-group-uses-pastebin-github-in-sneakypastes-operation/]
2018년 시작해 올해 초까지 활발하게 이어지고 있는 SneakyPastes 공격이 무료 파일 공유 서비스들을 이용해 멀웨어를 퍼트린 것으로 밝혀졌다. Github과 Pastebin은 물론 Mailimg, dev-point.co, a.pomf.cat, upload.cat 등이 멀웨어를 호스팅 하는 데 사용된 것으로 확인되었다. 전문가들은 공격자들이 탐지를 피하고 명령제어(C2) 서버(192.169.7.250)의 수명을 늘리고자 해당 서비스들을 악용한 것으로 보인다고 설명했다. 또한 공격의 마지막 단계에서 발견된 멀웨어가 PDF, DOC, DOCX, XLS 등의 확장자를 가진 문서들을 수집, 압축해 C2 서버에 업로드한다고 덧붙였다. 공격 주체로 확인된 가자 사이버갱(Gaza Cybergang)은 팔레스타인을 점령하고 있는 테러 조직인 하마스(Hamas)가 배후에 있는 것으로 알려진 APT 그룹으로 주로 팔레스타인 문제에 관심이 있는 개인과 조직을 대상으로 공격을 수행한다.

 

4. [기사] TajMahal cyber-espionage campaign uses previously unseen malicious tools
[https://www.zdnet.com/article/tajmahal-cyber-espionage-campaign-uses-previously-unseen-malicious-tools/]
2013년부터 활동하고 있는 정보 탈취형 멀웨어 타지마할(TajMahal)에 이전에 발견되지 않았던 새로운 기능들이 존재하는 것으로 알려졌다. 여기에는 1) 프린터 대기열로 보낸 문서 탈취, 2) VoiceIP 프로그램을 녹음하면서 스크린샷 저장, 3) CD에 쓰인 이미지 탈취, 4) 이전에 인식했던 이동식 드라이브가 다시 연결되면 바로 탈취하는 등의 기능이 포함되어 있다. 전문가들은 해당 멀웨어가 도쿄(Tokyo)와 요코하마(Yokohama)라고 불리는 두 가지 패키지를 기반으로 한다고 설명했다. 첫 번째 감염 단계에서 배포되는 도쿄는 둘 중 더 작은 모듈로 기본 백도어이자 명령제어 서버와의 연결을 담당하고, 그다음 배포되는 요코하마는 타지마할의 거의 모든 기능을 수행한다는 것이다. 전문가들은 또한 "2014년 중앙아시아 어느 국가의 외교 기관 시스템에서 발견된 것 이외에는 타지마할과 연관된 구체적인 공격 사례를 찾을 수 없었다"며 분포 방법이나 공격 주체 등에 대해서는 파악이 어렵다고 덧붙였다. 그러나 딱 한 목표만을 노리고 이렇게 다양하고 정교한 위협 요소들을 만들지는 않았을 것이라며 아직 알려지지 않은 새로운 공격 그룹의 소행으로 보인다고 밝혔다.

 

5. [기사] 어쩌면 또 다른 배후 세력? 스턱스넷에서 새로운 요소 발견됐다
[https://www.boannews.com/media/view.asp?idx=78544&page=1&kind=1]
악명 높은 스턱스넷(Stuxnet) 멀웨어와 관련된 새로운 요소가 발견되었다. 스턱스넷은 미국과 이스라엘이 개발했다고 알려진 멀웨어로 웜과 비슷한 구조를 가지고 있으며 산업 시스템을 감염시킨다. 전문가들은 이번 발견이 STA(Supra Threat Actor, 초 위협 행위자)인 일명 가십걸(GOSSIPGIRL)의 정체에 대한 힌트를 제공할 것이라고 기대하고 있다. 이 요소의 이름은 스턱스샵(Stuxshop)이다. 전문가들은 "두쿠, 플레임, 이퀘이젼에 이어 네번째"라며 2002년과 2013년 사이에 중동에서 주로 발견됐었던 멀웨어 플랫폼인 플라워샵(Flowershop)을 개발 및 운영했던 자들을 꼽았다. 스턱스샵의 코드 일부가 플라워샵과 똑같고, 스턱스넷의 C&C 서버라고 알려진 IP 주소들과 통신하는 기능을 가지고 있었다는 것이다. 또한 분석한 샘플의 타임스탬프가 2006년 5월로 맞춰져 있었다며 초기 C&C 기능을 담당하기 위해 스턱스넷에 추가된 것으로 보인다고 덧붙였다. 이들은 스턱스샵의 발견이 이전에 알려지지 않았던 제4의 세력이 스턱스넷 개발에 참여했으며, '스턱스넷 개발 착수가 2005년부터였다'는 보안업체 시만텍의 이론을 뒷받침할 증거 자료가 될 것이라고 보고 있다.

첨부파일 첨부파일이 없습니다.
태그 Duqu  Gaza Cybergang  TajMahal  Stuxnet  GOSSIPGIRL