Wins Security Information

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향[2019년 8월 27일] 주요 보안 이슈
작성일 2019-08-27 조회 929

1. [기사] 우리은행 사칭한 소디노키비 랜섬웨어 공격 유포됐다
[https://www.boannews.com/media/view.asp?idx=82485&page=1&kind=1]
23일부터 특정 기관을 타깃으로 한 우리은행 사칭 악성 이메일 공격이 발견되었으며, 첨부파일을 실행하면 Sodinokibi 랜섬웨어에 감염된다고 이스트시큐리티 시큐리티대응센터(ESRC)는 밝혔다. 메일 발신자명을 ‘Woori Financial Departments’로 사용했으며, ‘지불 정지. 우리 은행’이라는 메일 제목을 사용했다. 메일에 첨부되어 있는 압축파일을 해제하면, ‘결제정보_세부 정보가 잘못 입력되었습니다’라는 MS워드 문서 파일로 위장한 .exe 파일이 나타난다. 또한, 공격자가 보낸 악성 이메일을 텍스트 뷰어로 열람할 경우 러시아의 대문호인 ‘톨스토이’에 대한 소개 내용을 확인할 수 있다. ESRC는 공격자가 보낸 이메일을 확인 및 분석한 결과 메일 발송 방식 등 여러 가지 정황상 이번 악성 이메일 공격은 6월 초까지 다양한 피싱 메일을 활용하여 신종 Sodinokibi 랜섬웨어를 국내에 대량으로 유포했던 리플라이 오퍼레이터 조직이 수행한 것으로 판단된다고 밝혔다. 


2. [기사] Nemty Ransomware, a new malware appears in the threat landscape
[https://securityaffairs.co/wordpress/90396/malware/nemty-ransomware.html]
Nemty 랜섬웨어라고 불리는 새로운 랜섬웨어가 악성코드 연구자들에 의해 발견되었다. 해당 악성코드는 섀도 복사본을 삭제하여 복구 절차를 수행 할 수 없도록 한다. 그리고 암호화 완료 후, 랜섬 노트를 생성한다. 그리고 공격자는 Tor망에 호스팅된 포탈을 통해 0.9981 BTC(약 $1000)를 요구한다. 그리고 해당 악성 코드에는 푸틴 러시아 대통령의 이미지에 대한 링크와 안티바이러스 산업에 대한 메시지도 포함되어 있다. 


3. [기사] Phishing Campaign Delivers Quasar RAT Payloads via Fake Resumes
[https://www.bleepingcomputer.com/news/security/phishing-campaign-delivers-quasar-rat-payloads-via-fake-resumes/]
새로운 피싱 캠페인은 Quasar Remote Administration Tool(RAT) 악성 페이로드를 윈도우 컴퓨터에 전달하기 가짜 이력서 첨부 파일을 사용한다. Cofense가 탐지한 Malspam 캠페인은 암호로 보호되고 있는 Microsoft Word 문서로 작성된 가짜 이력서의 도움으로 Quasar RAT 페이로드(payload)를 배포한다. Quasar RAT은 C# 프로그래밍 언어를 사용하여 개발된 잘 알려진 오픈 소스 RAT이며, APT33, APT10, Dropping Elephant, Stone Panda, The Gorgon Group 등 광범위한 해킹 그룹이 사용했던 것으로 알려져 있다.  또한, 해당 RAT의 기능에는 원격 데스크톱 연결 열기, 피해자의 키 입력 기록 및 비밀번호 도용, 화면 스냅 샷 캡처 및 웹캠 녹화, 파일 다운로드 및 추출, 감염된 시스템의 프로세스 관리 등이 있다.


4. [기사] Clickjacking scripts found on 613 popular sites, academics say
[https://www.zdnet.com/article/clickjacking-scripts-found-on-613-popular-sites-academics-say/]
한 연구팀이 오늘날 가장 인기 있는 웹사이트 중 613개에서 사용자들의 클릭을 가로채는 악의적인 스크립트를 발견했다. 몇 년 동안 공격자들은 숨겨진 광고에 가짜 클릭을 만들어내기 위해 악성 프로그램이나 자동 스크립트에 의존해 왔지만, 최근 몇 년 동안 범죄 집단은 실제 사용자 클릭을 가로채는 기술로 발전했다. 연구팀은 OBSERVER라는 이름의 도구를 제작하고, 해당 도구를 이용하여 가장 인기 있는 웹사이트의 상위 250,000개 목록을 검색하여 613개의 웹 사이트에서 사용자 클릭을 가로채는 437개의 제 3자 스크립트를 발견했다. 일부 악성 스크립트는 클릭을 가로채고 금전적 이익을 위해 광고를 클릭하는 데 사용되었고, 다른 스크립트에서는 클릭을 가로채 사용자들에게 스캔웨어, 기술 지원 사기, 악성 프로그램 행상을 보여주는 악성 사이트로 리디렉션했다.


5. [기사] Apple released an emergency patch to address CVE-2019-8605 iOS flaw
[https://securityaffairs.co/wordpress/90408/hacking/cve-2019-8605-ios-flaw-patch.html]
iOS 12.4.1에서 iPhone 탈옥을 허용한 CVE-2019-8605인 Use-After-Free 취약점을 해결하는 긴급 패치가 발표됐다. Apple은 개선된 메모리 관리를 통해 Use-After-Free 취약점을 해결했다고 말했으며, 해당 결함은 12.4.1이 출시될 때까지 12.4 버전 및 이전 iOS 버전을 실행하는 iPhone 기기를 해킹 위험에 노출시킬 가능성이 있다. 현재 애플은 CVE-2019-8605 커널 문제를 해결하기 위한 비상 패치를 출시했으며, 아이폰 5s 이상, 아이패드 에어 이상, 아이팟 터치 6세대에도 이 수정이 가능하다. 해당 취약점은 처음에 Google Project Zero팀의 Ned Williamson 의해 처음 발견되었다.

첨부파일 첨부파일이 없습니다.
태그 Sodinokibi   Nemty  Ransomware  Quasar RAT  CVE-2019-8605