Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향[2019년 8월 20일] 주요 보안 이슈
작성일 2019-08-20 조회 330

1. [기사] 러시아 문서로 위장한 ‘코니(KONNI)’의 APT 공격 발견
[https://www.boannews.com/media/view.asp?idx=82319&page=1&kind=1]
이스트시큐리티 시큐리티대응센터(이하 ESRC)는 지난 6일 러시아어 파일명을 쓰는 악성 파일을 보안 모니터링 과정 중에 발견했으며, 공격 벡터와 코드 기법 등을 종합적으로 분석한 결과 코니(Konni) 시리즈로 결론지었다. 이번에 식별된 악성 파일은 MS Word 문서 파일로 파일명은 러시아어이고, 한국어로 변환하면 '한반도의 상황과 미국과 북한의 대화전망'이다. 악성 문서 파일은 매크로 기능을 통해 악성코드를 작동하고, 오브젝트에 포함된 코드를 통해 명령제어(C2) 서버로 연결을 시도한다. 그리고 ESRC는 문서 본문이 러시아어로 작성되어 있지만, 문서 내부 코드 페이지는 한국어(949)가 사용됐다면서, 공격자가 악성코드를 작성할 때 한국어 기반에서 만들었다는 점을 추정할 수 있다고 설명했다. 


2. [기사] Adwind Remote Access Trojan Hits Utilities Sector
[https://www.bleepingcomputer.com/news/security/adwind-remote-access-trojan-hits-utilities-sector/]
공격자들은 악성 페이로드에 대한 URL 리디렉션을 사용하는 malspam 캠페인을 통해 Adwind  RAT(Remote Access Trojan) 악성코드로 유틸리티 업계를 타깃으로 하고 있다. Adwind(JRAT, AlienSpy, JSocket, Sockrat로도 알려져 있음)는 개발자가 MaaS(Malware-as-a-Service) 모델에 따라 배포한다. 또한, 대부분의 주요 악성 소프트웨어 방지 솔루션의 탐지를 피할 수 있다. 그리고 Adwind RAT는 비디오 및 사운드를 기록하고 감염된 시스템의 웹캠을 이용하여 사진 촬영 뿐만 아니라 암호 화폐 및 채취 암호 화폐 지갑 정보를 채굴 할 수 있다. 


3. [기사] 해커가 가짜 NordVPN 웹 사이트를 사용하여 뱅킹 트로이 목마 제공
[https://www.bleepingcomputer.com/news/security/hackers-use-fake-nordvpn-website-to-deliver-banking-trojan/]
Win32Bolik.2 뱅킹 트로이 목마를 배포하기 위해 이전까지 무료 멀티미디어 편집기인 VSDC의 웹 사이트를 악용한 공격자들은 전술을 바꿨다. 이전에는 악성코드에 감염된 다운로드 링크를 가로채기 위해 합법적인 웹 사이트를 해킹했지만, 해커는 이제 웹 사이트 복제본을 만들어 뱅킹 트로이 목마를 의심 없는 피해자의 컴퓨터에 설치한다. 또한, nord-vpn[.]club 웹 사이트를 통해 Win32.Bolik.2 뱅킹 트로이 목마를 적극적으로 배포하였는데, 해당 웹 사이트는 NordVPN VPN 서비스에서 사용하는 공식 웹 사이트(nordvpn.com)의 거의 완벽한 복제본이다. 해커는 해당 악성 코드를 사용하여 웹 인젝션, 트래픽 차단, 키 로깅 및 다른 은행 클라이언트 시스템의 정보 도용을 수행 할 수 있다.


4. [기사] Hacker publicly releases Jailbreak for iOS version 12.4
[https://securityaffairs.co/wordpress/90099/hacking/iphone-jailbreak-released.html]
애플은 이미 수정한 취약점의 패치를 해제하여 현재 iOS 버전을 해커에게 취약하게 만들었다. Google Project Zero의 전문가인 Ned Williamson은 해당 탈옥이 iOS 모바일 운영 체제의 최신 버전과 함께 작동한다고 밝혔다. 해당 결함으로 인해 현재 및 이전 iOS 버전 (12.3 미만의 11.x 및 12.x 이하 12.3)을 실행하는 iPhone 기기가 12.4.1이 릴리스 될 때까지 해킹 위험에 노출될 수 있다. 사용자는 애플리케이션이 탈옥을 포함할 수 있음으로 설치 시 주의가 필요하다.


5. [기사] 악성 코드 분석 샌드 박스가 조직의 민감한 데이터를 노출할 수 있음
[https://securityaffairs.co/wordpress/90090/security/malware-analysis-sandboxes-data-leak.html]
Cyjax 연구원들이 수행한 연구에서 조직이 악성 프로그램 분석에 사용되는 샌드박스를 통해 중요한 데이터를 노출한다는 사실을 밝혀냈다. 3일 동안 3개의 샌드박스에서 수집한 PDF 문서와 이메일 파일 (.msg 및 .eml) 파일의 종류는  송장과 구매 주문서, CV 및 전문 인증서, 신분증 사진 및 주소, 여권 사본, 개인 식별 정보 (PII)를 포함한 보험 증명서 등이었다. 연구원들이 3일 동안 수집한 민감한 문서의 양은 엄청났으며, 한 달 안에 공격자는 여러 산업을 대상으로 피해자들의 신원을 도용하기에 충분한 데이터를 보유하게 될 것이라는 결론지었다. 

첨부파일 첨부파일이 없습니다.
태그 KONNI  Adwind  RAT