Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향[2019년 9월 4일] 주요 보안 이슈
작성일 2019-09-04 조회 571

1. [기사] 해킹조직 라자루스, 비트코인 탈취 APT 공격 계속…암호화폐 거래소 회원 집중 공격
[https://www.dailysecu.com/news/articleView.html?idxno=67789]
지난달 23일경, 한국 특정 암호화폐 거래소 가입 회원 일부에게 스피어 피싱 공격이 수행되었다. 가상화폐를 타깃으로 한 공격은 그동안 지속적으로 이어오고 있다. 이스트시큐리티 시큐리티대응센터 ESRC는 이와 관련된 전반적인 자료를 수집 분석하고, 위협 배후에 특정 정부가 후원하는 해킹그룹인 라자루스(Lazarus) 조직이 가담하고 있는 것으로 파악했다. 공격에 사용된 이메일 화면을 살펴보면, '100년 이후 100년의 꿈 인삿말.hwp' 파일을 첨부했으며, 본문에는 간단히 '인삿말 보내드립니다.'라는 표현만 존재한다. 해당 악성 문서 파일은 기존 무비 코인 캠페인과 동일하게 문서를 마지막으로 수정한 계정명이 USER로 동일하다. 그리고 BinData 스트림에 BIN0001.PS 악성 포스트스크립트 코드가 포함되어 있고,  하단에는 16바이트로 구성된 디코딩 키를 포함하고 있어 XOR 연산을 수행한다. 더불어 무비 코인 캠페인은 거의 동일한 쉘코드가 지속적으로 사용하고 있으며, 지난 7월 공격에서 사용된 파일들도 동일한 쉘코드가 사용된 것으로 조사됐다.


2. [기사] Nemty Ransomware Gets Distribution from RIG Exploit Kit
[https://www.bleepingcomputer.com/news/security/nemty-ransomware-gets-distribution-from-rig-exploit-kit/]
Nemty 랜섬웨어 운영자는 Exploit Kit에 의해 여전히 감염될 수 있는 구식 기술을 가진 시스템을 타깃으로 배포한다. Exploit Kit은 일반적으로 몇 년 전에 웹을 지배하는 데 사용되었던 두 가지 제품인 Internet Explorer 및 Flash Player의 취약성에서 번성하기 때문에 일반적으로 사용되지 않는다. 하지만 많은 회사가 여전히 의존하고 있고 마이크로소프트의 웹브라우저는 많은 나라에서 계속해서 사용되고 있다. Nemty 랜섬웨어는 처음 발견되었으며, 버전 1.0에는 러시아 대통령과 바이러스 백신 소프트웨어에 대한 참조가 포함된 코드를 통해 주목을 받았다. 보안 연구원 Mol69는 파일 암호화 악성 코드가 이제 RIG Exploit Kit의 악성 광고 캠페인의 페이로드임을 발견했다. 해당 악성 코드는 암호화된 파일에 .nemty 확장자를 사용했지만 Mol69가 관찰한 변종은 처리된 파일 끝에 '._NEMTY_Lct5F3C_'를 추가한다.


3. [기사] New Toolkit Pushes Malware via Fake Program Update Alerts in 30 Languages
[https://www.bleepingcomputer.com/news/security/new-toolkit-pushes-malware-via-fake-program-update-alerts-in-30-languages/]
악성코드와 원격 액세스 소프트웨어에 사용자를 감염시키기 위해 손상된 사이트의 가짜 브라우저와 프로그램 업데이트 경고를 사용하는 Domen이라는 새로운 소셜 엔지니어링 툴킷이 발견되었다. 악성코드를 퍼뜨리기 위해 가짜 브라우저와 플래시 플레이어 업데이트 경보를 사용하는 방법은 새로운 것이 아니지만, Malwarebytes 연구원 Jérôme Segura가 발견한 이 새로운 툴킷은 다양한 배너와 30가지 언어를 지원하며 데스크톱 및 모바일 방문자 모두를 위해 설계되어 있어 다양한 클라이언트, 브라우저, 방문객들에게 적응할 수 있는 고도의 정교함과 맞춤성을 가지고 있다. 손상된 사이트에로드되면 Domen 툴킷은 사이트의 합법적인 컨텐츠를 오버레이하는 다양한 경고를 표시하고, 이 가짜 경고는 사용자가 업데이트를 다운로드하여 실행하고 공격자가 선택한 페이로드에 감염되도록 유도하도록 설계되어 있다. 현재 해당 툴킷을 사용하는 캠페인이 많이 발견되면서 사용량이 증가할 것으로 예상된다.


4. [기사] USBAnywhere BMC flaws expose Supermicro servers to hack
[https://securityaffairs.co/wordpress/90758/hacking/usbanywhere-supermicro-bmc-flaws.html]
펌웨어 보안 회사인 Eclypsium의 연구원은 공격자가 선택한 USB 장치를 인터넷을 포함한 어떤 네트워크에서 원격으로 서버에 장착할 수 있도록 하는 Supermicro 서버의 BMC(Baseboard Management Controller)에서 USBAnywhere라고 총칭한 새로운 취약점을 발견했다. BMC는 컴퓨터, 네트워크 서버 또는 기타 하드웨어 장치의 물리적 상태를 센서를 사용하여 모니터링하고 독립적인 연결을 통해 시스템 관리자와 통신하는 전문 서비스 프로세서를 말하며, BMC를 통해 관리자는 네트워크를 통해 서버에 접속하고 OS나 펌웨어 업데이트와 같은 중요한 유지보수 작업을 수행할 수 있다. Supermicro X9, X10 및 X11 플랫폼의 BMC 문제는 디스크 이미지를 가상 USB CD-ROM 또는 플로피 드라이브로 원격으로 연결하기 위한 가상 미디어 구현과 관련이 있다. 그래서 공격자는 새로운 운영 체제 이미지를로드하거나 키보드 및 마우스를 사용하여 서버를 수정하거나 악성코드를 주입하거나 장치를 비활성화하는 등 USB 포트에 물리적으로 액세스할 수 있는 것과 같은 방식으로 서버를 공격 할 수 있다.


5. [기사] 딥페이크 기반 모바일 앱, 논란에 휩싸였지만 인기는 여전
[https://www.boannews.com/media/view.asp?idx=82722&page=1&kind=1]
중국에서 큰 인기를 누리고 있는 딥페이크(deepfake) 기술을 바탕으로 사용자의 각종 사진을 가지고 동영상을 만들어내는 자오(Zao) 앱이 프라이버시 논란에 휩싸였다. 자오 앱은 현재 가장 많이 다운로드된 앱 순위에서 빠른 속도로 치솟고 있으며, 사용자들은 여러 가지 표정을 담은 셀카 사진을 찍어 자오에 올리고, 자오는 이를 인공지능 딥페이크 알고리즘에 입력해 영상을 만들어내는 식이라 사용이 간편하다는 것도 인기에 큰 작용을 하고 있다. 하지만 최근 이용자 약관에 '사용자가 생성한 모든 콘텐츠에 대한 권한을 무료로, 영구히, 취소 조건이나 양도 조건 없이 자오가 가져가게 되며, 이는 라이선스로 대여할 수도 있다.'라는 문구가 있다는 게 발견되면서 프라이버시 논란에 휩싸이게 되었다. 예전부터 제기되어 온 딥페이크 기술의 위험성을 고려했을 때 이는 대단히 심각한 문제이며, 이에 자오 측은 개발 외의 목적으로는 사용하지 않겠다고 급히 약관을 수정하였다.

첨부파일 첨부파일이 없습니다.
태그 Lazarus  Nemty  RIG Exploit Kit  Domen  USBAnywhere