Wins Security Information

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향[2019년 8월 8일] 주요 보안 이슈
작성일 2019-08-08 조회 948

1. [기사] 한국어 메시지 사용하는 메이즈 랜섬웨어 주의
[https://www.boannews.com/media/view.asp?idx=82077&page=1&kind=1]
국내에서도 감염자가 발생했던 메이즈(Maze) 랜섬웨어가 또다시 국내에서 탐지된 정황이 확인되면서 사용자들의 각별한 주의가 요구된다. 해당 랜섬웨어는 영문랜덤 4-7자리 값을 암호화된 파일의 확장자로 사용하여 주요 파일들을 암호화한다. 또한, 폴더마다 DECRYPT-FILES.html의 랜섬노트 파일을 생성하고, 해당 파일의 문구 하단에 ‘!한국어 버전은 아래로 스크롤하십시오!’라는 한국어 메시지가 포함되어 있다는 점이 큰 특징이다. 그리고 ‘Kim Jong Un is my God’이라는 문자열도 확인할 수 있다.


2. [기사] MoqHao Related Android Spyware Targeting Japan and Korea Found on Google Play
[https://securingtomorrow.mcafee.com/other-blogs/mcafee-labs/moqhao-related-android-spyware-targeting-japan-and-korea-found-on-google-play/]
McAfee 모바일 리서치팀에서 한국 및 일본 사용자를 대상으로 하는 Phishing Campaign(a.k.a. XLoader and Roaming Mantis)을 위한 새로운 유형의 안드로이드 악성코드를 발견했다. 해당 스파이웨어는 한국과 일본의 사용자들을 대상으로하는 보안 애플리케이션으로 위장했다. 한국 사용자 대상 애플리케이션의 경우 경찰에서 배포하는 스파이웨어 방지 애플리케이션으로 위장하기 위해 경찰 아이콘과 kpo가 포한된 패키지명, com.kpo.scan 및 com.kpo.help를 참조에 추가하였다. 대만의 호스트 서버에서 cyber.apk 이름으로 배포되었다. 이번에 발견된 스파이웨어는 강한 상관관계가 있어 McAfee 연구원은 MoqHao 캠페인과 연결되어있다고 결론지었다.


3. [기사] 아시아권 겨냥한 또 다른 Socks5 공격, Gwmndy 봇넷 발견
[https://www.boannews.com/media/view.asp?idx=82063&kind=1]
Fiberhome에서 만든 라우터를 하루에 약 200대만 감염시키는 봇넷이 발견되었다. 해당 봇넷은 일반적인 봇넷과 다르게 디도스 공격이나 암호화폐 채굴 코드 유포, 스팸 메일 전송, 정보 탈취 등을 하지않고, 라우터를 SSH 터널링 프록시 노드로 변환시키는 것을 하지만 그렇게 하는 이유는 아직 드러나지 않고 있다. 360Netlab은 라우터들은 Gwmndy라는 이름을 가진 악성 ELF 포맷의 파일에 의해 감염되었으며, 어떤 방식으로 퍼지는지 아직 정확히 알 수는 없다고 말했다. Gwmndy는 장비에 백도어와 SSH 터널을 만들고, 그런 후에는 Socks5 프록시 서비스를 로컬에서 생성하기도 한다. 이번 봇넷을 포함하여 최근에 Socks5를 사용하는 악성 멀웨어 및 공격 캠페인이 꾸준히 발견되고 있다. 

 

4. [기사] The number of exploits in the Echobot botnet reached 59
[https://securityaffairs.co/wordpress/89576/hacking/echobot-botnet-56-exploits.html]
최근에 발견된 Echobot 봇넷의 운영자가 광범위한 시스템을 감염시키기 위해 수십 가지의 새로운 익스플로잇을 추가했다. 지난 6월에 PaloAlto Networks의 전문가들은 Mirai 봇넷을 기반으로하는 Echobot이라는 새로운 봇넷을 발견했다. 변종이 발견될 때 마다 새로운 익스플로잇이 추가되었으며, 가장 최근에 발견된 변종은 59가지의 다른 RCE 익스플로잇을 포함하고 있다. 봇넷은 패치되지 않은 IoT 디바이스를 손상시킬 수 있지만, 대부분의 익스플로잇은 엔터프라이즈 애플리케이션 Oracle WebLogic 및 VMware SD-Wan도 잠재적인 목표라고 경고하고 있다.


5. [기사] 1600억 개의 이메일 수집해 현 공격 트렌드 분석했더니
[https://www.boannews.com/media/view.asp?idx=82071&page=1&kind=1]
Mimecast가 사이버 공격자들이 오래된 익스플로잇을 새롭게 조작하거나 유명 클라우드 플랫폼을 공격에 활용함으로써 공격 행위를 감추기 시작했다는 내용의 보고서를 발표했다. 블랙햇 행사를 위해 작성된 이 보고서는, 2019년 4월부터 6월까지 수집된 이메일 1600억 통을 분석한 것의 결과물이다. 마임캐스트의 부회장인 Josh Douglas는 이메일을 분석한 결과 멀웨어 링크가 눈에 띄게 증가했다는 사실을 확인할 수 있고, 누군가를 사칭한 후 실시하는 공격의 경우 30%가 표적 공격이며 주로 관리자, 컨설턴트, 생명공학 분야에 표적 공격이 집중되어 있다고 말했다. 그리고 교육산업이 표적 공격에 가장 많이 노출되어있으며, 그다음은 소프트웨어 산업이었다. 

첨부파일 첨부파일이 없습니다.
태그 Maze  Gwnmdy  Socks5  Echobot