Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향[2019년 8월 29일] 주요 보안 이슈
작성일 2019-08-29 조회 593

1. [기사] 플래시 취약점 악용한 악성코드 유포중…감염 주의
[https://www.boannews.com/media/view.asp?idx=82545]
최근 해외의 다수 IP에서 플래시 프로그램의 취약점을 이용해 악성코드를 유포하는 사례가 발견돼 사용자 주의가 요구된다. 안랩은 28일 웹사이트 광고에 악성 스크립트를 삽입한 후 방문자를 해외 악성 웹페이지로 이동 후 플래시 취약점을 악용해 악성코드에 감염시킨다고 밝혔다. 공격자는 정상 광고 시스템을 악용하는 멀버타이징 기법을 사용해 악성코드 감염을 시도했으며, 만약 사용자가 해당 악성 광고가 있는 웹사이트에 접속하면 악성코드 유포 도구인 RIG Exploit Kit을 실행하는 악성 웹페이지로 이동한다. RIG Exploit Kit은 사용자 PC의 ‘어도비 플래시 플레이어’의 취약점 여부를 체크하고, 구버전의 취약점이 확인되면 이를 악용해 PC를 악성코드에 감염시킨다. 이때 설치되는 악성코드는 랜섬웨어, 백도어, 암호화폐 채굴 악성코드, 키로거(키보드 입력정보 탈취) 등 사례별로 다양한 것으로 나타났다. 


2. [기사] Attackers Target Govt and Financial Orgs With Orcus, Revenge RATs
[https://www.bleepingcomputer.com/news/security/attackers-target-govt-and-financial-orgs-with-orcus-revenge-rats/]
Revenge와 Orcus RAT(Remote Access Trojans)을 이용하여 전 세계 정부와 금융기관을 대상으로 하는 악성 캠페인이 여러 건 발견되었다. 이러한 모든 개별 캠페인은 파일리스 악성코드 변종에 의해 활용되는 C2 인프라 난독화, 분석 우회 및 지속성 기법을 포함하되 이에 국한되지 않는 몇 가지 고유한 전술, 기법 및 절차(TTP)에 의해 함께 연계된다. Cisco Talos 연구원은 위협 행위자가 정부 기관, 금융 서비스 조직, 정보 기술 서비스 제공 업체 및 컨설턴트를 포함한 조직을 대상으로 하는 지속적인 악성코드 배포 캠페인의 일환으로 Revenge RAT 및 Orcus RAT 페이로드를 사용하고 있다. Revenge RAT는 원격 쉘을 열 수 있는 것으로 알려진 RATdm로, 공격자가 시스템 파일, 프로세스, 레지스트리 및 서비스를 관리하고 키 입력 기록, 피해자 비밀번호 덤프, 웹캠 접속 등을 할 수 있도록 한다. Orcus는 2016년 초부터 원격 관리 툴로 광고되었지만, 원격 액세스 트로이 목마 기능도 갖추고 있어 맞춤형 플러그인을 로드할 수 있는 악성 툴로도 간주되고 있다.


3. [기사] North Korean state hackers target retired diplomats and military officials
[https://www.zdnet.com/article/north-korean-state-hackers-target-retired-diplomats-and-military-officials/]
북한 정부가 후원하는 해킹 그룹의 첫 번째 타깃으로 남한의 은퇴한 고위 공무원을 대상으로 하고 있다. 여기에는 대사, 군대의 장군 그리고 외교부 및 통일부의 은퇴한 인사 등이 속한다. IssueMakersLab의 Simon Choi는 이번 공격은 7월 중순에서 8월 중순 사이에 발생했으며 Gmail과 네이버 이메일 계정을 목표로 했다고 말했다. 또한, 보안 연구원에 따르면 이번 공격은 Kimsuky 그룹에 의해 수행되었을 것이라고 말했다. Kimsuki 또는 Velvet Chollima로도 알려진 이 그룹은 2011년부터 운영되어 왔으며, 2013년 카스퍼스키 보고서에 처음 소개되었다. 


4. [기사] TA505 group updates tactics and expands the list of targets
[https://securityaffairs.co/wordpress/90472/cyber-crime/ta505-recent-campaigns.html]
Trend Micro는 Dridex와 Locky 악성코드 패밀리의 배후에 있는 TA505 그룹이 작은 변화를 계속하고 있다고 밝혔다. TA505 해킹 그룹은 2014 년부터 소매 및 금융 부문에 주력해 왔으며, 현재 악성코드 대상 국가 및 단체 목록을 확장하고,  악성 코드를 배포하는 기술을 수정하고 있다. 또한, 사이버 범죄자들은 ​​FlawedAmmyy RAT 또는 ServHelper 백도어를 계속 사용한다. Trend Micro는 TA505가 원래의 ServHelper와 FlawedAmmyy 루틴에서 변경 및 조정된 것은 그룹이 어떤 형태의 난독화가 탐지를 우회할 수 있는지를 결정하기 위해 실험하고 테스트하고 있다는 것을 나타낼 수 있으며, 결과적으로 더 많은 재정적 이익을 얻을 것으로 보인다고 말했다. 


5. [기사] Magecart hackers compromise another 80 eCommerce sites
[https://securityaffairs.co/wordpress/90493/hacking/magecart-formjacking-attacks.html]
Aite Group과 Arxan Technologies의 보안 전문가들은 Magecart 해커들이 신용카드 데이터를 훔치기 위해 온라인 상점을 계속 공략하고 있으며, 최근 80개의 eCommerce 사이트를 더 손상시킨 사실을 발견했다. 이러한 웹 사이트는 모두 구식 버전의 Magento를 실행하고 있으며 이는 Formjacking과 Digital Card Skimming에 취약하다. Magecart 그룹의 피해자 목록에는 British Airways, Newegg, Ticketmaster, MyPillow and Amerisleep, Feedify와 같은 여러 주요 플랫폼들이 포함되어 있다. 또한, Magecart 에 의해 손상된 사이트 중 상당수는 임의 파일 업로드, 원격 코드 실행, 크로스 사이트 요청 위조 취약점에 취약한 것으로 알려진 버전 1.5, 1.7 또는 1.9를 실행하고 있었고, 이러한 결함은 공격자들에 의해 해당 사이트에서 Formjacking 코드를 주입하기 위해 이용될 수 있다.

첨부파일 첨부파일이 없습니다.
태그 RIG Exploit Kit  Revenge RAT  Orcus RAT  Kimsuki  TA505