Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향[2019년 5월 29일] 주요 보안 이슈
작성일 2019-05-29 조회 486

1. [기사] APT10 is back with two new loaders and new versions of known payloads
[https://securityaffairs.co/wordpress/86213/apt/apt10-new-loaders.html]
보안 업체 엔실로(enSilo)가 중국과 연결된 사이버 범죄 단체인 APT10이 새로운 멀웨어 로더 두 가지를 공격에 활용하고 있다고 발표했다. 새롭게 나타난 로더들이 JVM을 기반으로 한 자바스크립트 엔진(jjs.exe)을 드롭시키는 기능을 가지고 있으며, DLL 사이드 로딩 기법을 통해 악성 페이로드를 가져온다는 것이다. 그러나 두 로더는 공격 지속성을 마련하는 방식에서 차이를 보인다. 첫 번째 로더가 자기 자신을 프로세스 안에 주입시키는 방식을 택한 반면, 두 번째 로더는 현재 사용자의 런(Run) 레지스트리 키를 사용하는 방식을 택한 것이다. 한편 최종적으로 로드되는 페이로드는 플러그엑스(PlugX)와 쿼사랫(Quasar RAT)으로 밝혀졌다. 2012년 처음 발견된 플러그엑스는 원격으로 데이터 탈취 및 시스템 장악이 가능한 멀웨어로, 시스템 정보를 수집하는 것을 주요 목적으로 한다. 쿼사랫은 윈도우용 정상 원격 관리 툴을 바탕으로 키로깅, 도청, 데이터 업로딩, 코드 다운로딩 등 각종 기능을 사용할 수 있는 멀웨어이다. 엔실로의 보안 전문가는 "발견한 샘플들에 들어있는 인증서의 발행 날짜와 파일 컴파일 날짜가 동일한 것으로 보아 두 멀웨어가 아직 개발 단계에 있는 것 같다"며 APT10이 활발히 활동 중이라는 증거라고 설명했다.

 

2. [기사] 한수원 공격조직 김수키, 암호화폐 미끼로 2번의 공격 감행
[https://www.boannews.com/media/view.asp?idx=79935&page=1&kind=1]
한국수력원자력을 해킹해 잘 알려진 공격 그룹인 김수키(Kimsuky)가 국내 암호화폐 거래소와 경찰청 사이버안전국을 사칭한 사이버 공격을 연이어 펼치고 있다. 보안업체 이스트시큐리티에 따르면 김수키 조직은 지난 28일 오전, 한국의 유명 암호화폐 거래소의 이벤트에 합격되었다는 이메일을 대거 전송했다. 이메일 본문에는 경품 수령을 위해 이름, 주소, 주민등록번호, 연락처, 신분증 사본과 함께 메일에 첨부된 양식을 작성해달라는 내용이 포함되어 있다. 메일에 첨부된 '이벤트 당첨자 개인정보 수집 및 이용 동의 안내서.hwp'는 악성 문서파일로 'BIN0001.eps' 포스트스크립트 파일 내부에는 셸 코드와 인코딩된 EXE 파일이 포함되어 있다. 이스트시큐리티의 전문가는 해당 문서 파일이 '페이크 스트라이커' APT 작전 기법과 일치하며, 통신 시 사용하는 폼 데이터 역시 기존 김수키 조직이 사용한 것과 정확히 일치한다고 설명했다. 또한 김수키 조직이 같은 날 '사이버안전국'을 사칭한 스피어 피싱도 시도했다고 덧붙였다. 암호화폐 해킹 피해 문의에 대한 내용과 답변처럼 꾸며진 이메일에 컴퓨터 검사 프로그램이라며 악성 압축파일을 첨부해 보낸 것이다. 이스트시큐리티는 "최근 암호화폐 거래와 관련된 내용의 사이버 공격이 증가하고 있다"며 사용자들의 각별한 주의가 필요한 시점이라고 강조했다. 

 

3. [기사] 위험한 윈도우 RDS 취약점, 지멘스 헬시니어즈 제품들에서도 발견
[https://www.boannews.com/media/view.asp?idx=79932&page=1&kind=1]
전자 기기 생산 전문 회사인 지멘스 헬시니어즈(Siemens Healthineers)에서 만든 제품 일부에서 최근 패치된 윈도우 취약점이 발견되었다. CVE-2019-0708으로 할당된 해당 취약점은 윈도우 원격 데스크톱 서비스(RDS)가 영향을 받는다고 알려져 있다. 또한 악명 높았던 워너크라이(WannaCry) 랜섬웨어와 비슷한 방식으로 멀웨어가 퍼져 '워머블' 즉, 웜처럼 증식 가능하다는 설명이 따라붙는다. 지멘스는 마이크로소프트의 패치 발표 이후 독자적으로 조사를 진행한 결과, 매직링크에이(MagicLinkA), 매직뷰(MagicView), 메디칼리스(Medicalis), 스크리닝 내비게이터(Screening Navigator), 신고(syngo), 팀플레이(teamplay)에서 해당 취약점을 발견했다고 발표했다. 뒤이어 "취약점을 익스플로잇 하려면 환경설정과 제품이 구축된 환경에서 일정한 조건이 맞물려야 한다"고 강조하며 마이크로소프트에서 발표한 패치를 적용하면 대부분 해결이 가능하다고 설명했다. 또한 RDP를 비활성화하고 TCP 포트 3389를 차단하는 것도 문제해결 방법이며, 여기에 더해 마이크로소프트가 제안한 다양한 완화 방법을 적용하면 충분히 안전할 것이라고 덧붙였다.

 

4. [기사] DuckDuckGo Address Bar Spoofing
[https://securityaffairs.co/wordpress/86250/hacking/duckduckgo-address-bar-spoofing.html]
개인 정보 보호에 중점을 둔 브라우저인 덕덕고(DuckDuckGo)의 안드로이드 버전에서 주소 표시줄 스푸핑 취약점이 발견되었다. 보안 전문가 Dhiraj Mishra에 의해 발견된 해당 취약점은 브라우저의 옴니바(ominibar)에 존재한다. Dhiraj Mishra는 자신의 블로그를 통해 '악의적으로 조작된 자바 스크립트 파일을 로드해 내부 HTML 코드를 변경하고, setInterval 함수를 이용해 매 10에서 50 밀리 초마다 실제 URL을 리로딩해 공격이 가능하다'고 설명했다. 또한 작년 10월 덕덕고 팀에 해당 사실을 알렸지만 덕덕고팀이 별다른 조치를 취하지 않았다고 덧붙였다. 한편 해당 취약점은 CVE-2019-12329로 할당되었다.

 

5. [기사] Hackers using HawkEye Keylogging Malware to Attack Enterprise Networks to Steal Application Data
[https://gbhackers.com/hawkeye-malware-enterprise-networks/]
추가 악성코드 다운로드가 가능한 고급 키로깅 멀웨어 호크아이(HawkEye)가 더 많은 돈을 목적으로 비즈니스 사용자들을 노리고 있는 것으로 밝혀졌다. 최근 발견된 호크아이 멀웨어는 감염된 장치의 정보를 탈취할 수 있으며, 다른 멀웨어를 다운로드하는 로더로도 사용할 수 있다. 보안 업체 엑스포스(X-Force)는 지난 4월에서 5월 사이에 발생한 공격들을 조사한 결과, 공격자들이 주로 운송 및 물류, 의료, 수입과 수출, 마케팅, 농업 및 기타 산업을 대상으로 하고 있다고 발표했다. 또한 현재는 스페인의 은행을 사칭한 악성 메일을 통해 스페인 사용자들을 노리고 있다고 덧붙였다. 이들이 보낸 이메일에는 .lnk 파일이 첨부되어 있으며, 사용자가 해당 파일을 열면 멀웨어가 실행된다. 멀웨어는 파워셸을 통해 공격자의 C2 서버와 연결하고 이메일, 웹브라우저 등의 비밀번호, 비트코인 지갑 정보 등을 탈취한다. 이외에도 방화벽 및 안티 바이러스 설정 체크, 추가 페이로드 다운로드 등의 기능도 수행하는 것으로 확인되었다. 엑스포스의 전문가는 "공격이 미국과 아랍 에미리트에 이어 스페인까지 확대되었다"며 다른 나라도 안전하지는 않다고 경고했다.

첨부파일 첨부파일이 없습니다.
태그 APT10  김수키  CVE-2019-0708  호크아이