Wins Security Information

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향[2019년 6월 26일] 주요 보안 이슈
작성일 2019-06-26 조회 685

1. [기사] 인기 높은 파일 전송 서비스 위트랜스퍼에서 엉뚱한 사건 발생

[https://www.boannews.com/media/view.asp?idx=80747&page=1&mkind=&kind=1&skind=D&search=title&find=]
인기 높은 파일 전송 서비스인 위트랜스퍼(WeTransfer)가 주말 동안 보안 경고문을 고객들에게 발송했다. 일부 이메일이 엉뚱한 사람에게 보내졌다는 내용이었다. 이러한 일이 발생한 건 6월 16일과 17일이었다고 한다. 이메일이 엉뚱한 곳으로 발송된 직후 일부 고객들은 계정으로부터 강제 로그아웃되었고 비밀번호를 재설정해야만 접속이 가능하도록 조처됐다. 물론 위트랜스퍼 측에서 실시한 것이었다. 또한 이 사건에 연루된 전송 링크를 전부 차단했다고도 밝혔다. 하지만 위트랜스퍼는 그 어느 매체를 통해서도 사건 경위에 대해서는 설명하지 않고 있는 상태이다. 바트 래노아이(Bart Lannoeye)라는 보안 전문가는 개인 트위터를 통해 위트랜스퍼 소프트웨어의 상태가 엉망이므로 이 서비스를 계속 사용하다가는 언젠가 유출된 정보의 피해자가 될 것이라고 경고했다.

 

2. [기사] 새 맥OS용 암호화폐 채굴 코드 등장했으나, 어딘지 어설퍼
[https://www.boannews.com/media/view.asp?idx=80777&skind=D]
새로운 암호화폐 채굴 멀웨어가 맥OS 시스템들을 노리고 활동하기 시작했다. 이를 발견한 보안 업체 멀웨어바이츠(Malwarebytes)에 의하면 이 멀웨어의 이름은 버드 마이너(Bird Miner)이며, 리눅스를 에뮬레이팅한다는 특징을 가지고 있다고 한다. 전문가에 따르면 버드 마이너는 음악 프로덕션 소프트웨어인 에이블톤 라이브(Ableton Live)의 크래킹 된 설치파일을 통해 번지고 있다고 한다. 또한 버드 마이너의 설치 후 스크립트를 새로운 위치로 복하도록 하는 것인데, 이때 새로운 위치들의 이름은 무작위로 결정된다. 스크립트를 통해 실행 파일 실행되면 Qemu에서 리눅스 실행 파일을 실행시킬 수 있다. 최종적으로 타이니 코어 리눅스 시스템이 부팅되면, 암호화폐 채굴 코드가 실행된다. 멀웨어바이츠는 공격자가 리눅스에 익숙하지만 맥 OS 환경에 대해서는 잘 모르고 있었다라고 언급했다. 


3. [기사] New Silex malware is bricking IoT devices, has scary plans
[https://www.zdnet.com/article/new-silex-malware-is-bricking-iot-devices-has-scary-plans/]
IoT 장치를 공격하는 Silex 악성코드가 발견됐다. Akamai 연구원에 따르면 Silex는 IoT 장치의 스토리지를 추적, 방화벽 규칙 삭제, 네트워크 구성을 제거한 후 장치를 중지하는 방식으로 작동한다고 한다. 만약 이를 복구하기 위해서는 펌웨어를 수동으로 재설치해야 한다고 한다. Silex는 /dev/random에서 검색된 데이터를 마운트된 스토리지에 기록함으로써 시작된다. 그 후 rm -rf /를 사용하여 네트워크 구성을 삭제한다. 또한 DROPS의 iptables 항목을 비운다. 연구원은 공격에 사용된 IP 주소가 이란에서 운영되는 VPS 서버에서 호스트 되고 있는 것으로 보인다고 말했다. Silex 악성코드 제작자는 미라이 또는 Qbot또한 연구하여 다른 공격에 사용할 것이라고 언급했다. 이에 보안 전문가는 네트워크 보안을 강화하고 주의를 기울여야 한다고 말했다. 


4. [기사] Microsoft Warns about the new Campaign that Delivers FlawedAmmyy RAT via Weaponized MS Excel Documents
[https://gbhackers.com/microsoft-warns-flawedammyy-rat/]
악명 높은 원격 접근 트로이목마(RAT)인 플로드애미(FlawedAmmy)를 메모리에 곧바로 주입하는 새로운 공격 캠페인이 발견됐다고 마이크로소프트가 경고했다. 플로드애미는 일종의 원격 접근 툴로, 사이버 공격자들에게 피해자의 시스템에 대한 완전 접근 권한을 부여해주며 많은 종류의 데이터를 훔쳐낼 수도 있다. 지금까지 플로드애미를 가장 주력으로 사용해오던 해킹 그룹은 러시아의 TA505라고 알려졌다. 이 그룹은 Dridex와 Locky 랜섬웨어를 퍼트리던 것으로도 유명하다. 마이크로소프트가 최근 발견한 바에 의하면 .xls 첨부파일이 붙은 이메일로부터 시작된다고 한다. 이 파일이 실행되면 매크로와 디지털 서명 파일이 실행되며 최종적으로 플로드애미가 실행된다. 악성코드의 행위는 트렌드 마이크로에서 감염 프로세스를 보고서로 작성하여 배포하였다. 


5. [기사] U.S. Government Warns of Data Wipers Used in Iranian Cyberattacks
[https://www.bleepingcomputer.com/news/security/us-government-warns-of-data-wipers-used-in-iranian-cyberattacks/]
미국 사이버보안 인프라 보안국에 따르면 와이퍼(Wiper) 도구를 활용하여 미국 산업과 정부 기관을 대상으로 진행되는 공격이 증가했다고 한다. 와이퍼란 컴퓨터의 데이터를 삭제하도록 설계된 악성 코드이다. 전문가에 따르면 암호화된 파일의 몸값을 지불하기 위해 고안된 랜섬웨어와 달리 와이퍼는 파일을 복구할 방법이 없이 데이터를 파괴하도록 설계됐다고 한다. 이란에서 진행된 이번 공격은 자격증명, 비밀번호 획득, 피싱 등의 방법을 사용한다. 이에 CISA의 크렙스 국장은 조만관 관련 공격의 성명을 발표할 것이라고 말했다. 또한 와이퍼와 같은 공격 유형으로부터 보호하는 방법에 대해 자세히 알고자 하는 사람들은 CISA 게시판을 참고하라고 말했다. 보안 전문가는 과거 2012년, 2017년, 2018년에도 와이퍼 공격이 사용됐으며 주로 금융권에서 많이 사용됐다고 언급했다.

 

첨부파일 첨부파일이 없습니다.
태그 WeTransfer  Bird Miner  Silex  FlawedAmmy  Wiper