Wins Security Information

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향[2019년 7월 1일] 주요 보안 이슈
작성일 2019-07-01 조회 668

1. [기사] IT 업계의 떠오르던 스타 데이터 과학자, 최근 들어 주춤
[https://www.boannews.com/media/view.asp?idx=80978&page=1&mkind=&kind=1&skind=D&search=title&find=]
지난 2~3년 동안 ‘데이터 과학자’에 대한 이야기가 꾸준한 화두였다. 하지만 구인구직 및 급여 관련 조사 업체인 버치 웍스(Burtch Works)의 조사에 따르면, 요 몇 달 사이에 데이터 과학자에 대한 광적인 신봉이 잦아들고 연봉이 안전기에 접어들었다고 한다. 이는 최근 고난도의 복잡한 수학 및 컴퓨터 과학 문제들을 쉽게 다룰 수 있는 툴들이 시장에 나오면서 발생하고 있는 현상이다. 또한, 5~6년 전만 해도 구글과 페이스북 같은 기업만 고용하는 특수직에서 농업, 교육, 사법, 날씨 등 다양한 분야에서 수요가 늘어나고 있다는 점도 한몫 했다. 버치는 4년제 학위의 신입 평균 연봉이 78615달러이며, 석사 학위를 소유할 경우 80737달러를 받는다. 또한 평균 연봉 상승폭이 4%밖에 되지 않는다고 밝혔다. 


2. [기사] 이란의 해커들, 3월에 정체 드러난 이후 공격 인프라 바꿔
[https://www.boannews.com/media/view.asp?idx=80977&page=1&mkind=&kind=1&skind=D&search=title&find=]
이란 정부가 배후에 있는 것으로 보이는 사이버 정찰 부대인 APT33이 올해 3월에 나온 보고서에 영향을 받아 공격 인프라를 업데이트했다는 소식이 보안 업체 레코디드 퓨처(Recorded Future)로부터 나왔다. APT33은 엘핀(Elfin)이라고도 불리는 단체로, 최소 2013년부터 활동해왔으며, 주로 중동에 있는 단체들을 노려왔다. 전문가에 따르면 APT33 해커들이 3월 후반부부터 1200개가 넘는 도메인을 사용해 공격에 활용해온 것으로 조사됐다. 이 중 728개가 감염된 호스트들과 통신을 하고 있었고, 575개는 RAT 중 하나에 감염된 상태이다. 또한 레코디드 퓨처는 의심 가는 도메인 중 다수가 njRAT와 관련이 있으며 AdwindRAT, RevengeRAT도 일부 발견됐다고 밝혔다. 전문가는 APT33, APT35 등의 해커 팀이 활발히 움직이는 만큼 보안 모니터링을 강화하고 예의 주시해야 한다고 언급했다. 


3. [기사] Phishing Security Controls Fully Bypassed Using QR Codes
[https://www.bleepingcomputer.com/news/security/phishing-security-controls-fully-bypassed-using-qr-codes/]
보안 연구원들이 QR 코드를 악용하여 피해자 접속 시 피싱 페이지로 리다이렉션 하는 캠페인이 발견했다. 프랑스 코펜스 고객을 대상으로 한 공격이며 보안 소프트웨어를 우회하기 위해 QR코드로 인코딩된 URL이 사용됐다. 또한, "Review Important Document","Scan Bar Code To View Document."이란 제목의 메일로 위장했다고 한다. 만약, 사용자가 메일의 링크에 접속하면 쉐어포인트 관련 사이트로 리다이렉션되며 계정을 사용하여 로그인할 수 있도록 한다. 보안전문가는 과거에도 스팸 필터가 합법성을 검사할 명확한 URL이 없어 피싱 공격으로 인한 피해가 상당수 발생했다고 언급했다. 이를 보완하기 위해 2017년 한 논문에서는 QR 무결성에 초점을 맞춘 솔루션을 주제로 방어 가능성을 제시했고, QR 코드 피싱 공격에 대한 사용자의 민감성 등을 주제로 연구가 이뤄지고 있다.

 

4. [기사] Russian Google “Yandex” Hacked with Rare Type of Malware called Regin to Spy on Users Accounts
[https://gbhackers.com/russian-yandex-hacked-regin/]
서방 세계 정부 기관과 연루되어 있는 것으로 보이는 해커들이 러시아의 IT 대기업인 얀덱스(Yandex)의 시스템을 작년에 침해했다는 사실이 드러났다. 당시 사용된 멀웨어는 레진(Regin)의 일종이었다고 한다. 로이터의 보도에 의하면 침해가 발생한 건 2018년 10월과 11월 사이이며, 얀덱스의 R&D 관련 부서를 표적으로 했었고, 얀덱스가 가진 사용자 인증 기술을 훔치는 것이 목적이었던 것으로 보인다. 이 공격에 활용된 것은 레진(Regin)이라는 멀웨어인데, 레진은 전 세계 다양한 조직들을 대상으로 2008년부터 활용되어 온 것으로 알려져 있다. 아직 얀덱스에 대한 표적 공격을 누가 실시했는지는 정확히 밝혀지지 않고 있으며, 강력한 용의자들은 이른바 파이브 아이즈(Five Eyes)에 속한 국가들이다. 이에 카스퍼스키는 이번 공격이 얀덱스의 개발자들을 노린 것 같다고 밝혔다. 


5. [기사] NCSC Issued an Emergency Alert for Ryuk Ransomware that Actively Attacks on Global Organizations
[https://gbhackers.com/ryuk-ransomware/]
영국의 NCSC가 이모텟과 트릭봇 악성코드를 함께 사용하는 류크(Ryuk) 랜섬웨어의 공격을 탐지했다. 이 랜섬웨어는 2018년 8월에 처음 발견됐으며, 피해자에게 수백만 달러의 몸값을 요구하며, GRIM SPIDER란 그룹에서 대형 조직을 대상으로 캠페인을 진행했다고 한다. 류크 랜섬웨어는 감염 초기 단계에서 이모텟을 이용해 사용자 정보를 확인한다. 동시에 트릭봇 악성코드를 사용하여 Minikatz와 PowerShell Empire 모듈을 실행한다. 이 모듈들은 자격 증명 수집 및 원격 모니터링 등에 사용되고 일련의 감염 과정이 완료되면 파일을 암호화하여 비트코인을 요구한다. NCSC는 류크 랜섬웨어가 네트워크 공유에 접근하여 암호화할 수 있고, 안티 포렌식 복구 등의 기능을 이용하여 백업과 복구를 어렵게 만들었다고 밝혔다. 

첨부파일 첨부파일이 없습니다.
태그 데이터 과학자  APT33  QR Codes  Regin  GRIM SPIDER