Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향[2019년 9월 10일] 주요 보안 이슈
작성일 2019-09-10 조회 152

1. [기사] 이제 공식 스토어도 못 믿어! 또 뚫려버린 플레이 스토어
[https://www.boannews.com/media/view.asp?idx=82861&page=1&kind=1]
안드로이드의 구글 플레이 스토어에서 또 다른 스파이웨어를 발견됐다. 조커(Joker)라고 불리는 해당 악성코드는 지난 수 주 동안 24개 앱을 통해 퍼졌으며, 총 47만 2천여 번 다운로드 된 것으로 나타났고, 현재 구글은 문제가 되는 앱들을 삭제한 상태이다. 보안 전문가 알렉세이 큐프린즈(Aleksejs Kuprins)는 조커를 분석한 글을 발표하며, 악성코드는 광고 프레임워크에 숨어 있었으며, 악성 코드의 노출을 최소화하는 것이 특징이라고 말했다. 그리고 악성코드의 실행과 함께 또 다른 페이로드를 사용자의 시스템에 드롭시키는데, 이 때 드롭되는 페이로드는 문자 메시지, 연락처 정보, 시스템 정보 등을 탈취해 공격자에게 전송시킬 수 있는 기능을 가지고 있다. 그리고 추가적으로 각종 광고를 통해 홍보되는 고급 유료 서비스에 사용자를 등록시킨다. 


2. [기사] Exploit Kits Target Windows Users with Ransomware and Trojans
[https://www.bleepingcomputer.com/news/security/exploit-kits-target-windows-users-with-ransomware-and-trojans/]
4개의 서로 다른 Malvertising 캠페인이 사용자를 리디렉션하여 암호를 훔치는 트로이 목마, 랜섬웨어 및 클립 보드 하이재커를 설치하는 Exploit Kits를 이용하고 있다. 사용자가 사이트를 방문하면 스크립트는 방문자의 브라우저 취약점을 이용하여 사용자 모르게 악성코드를 자동으로 다운로드하여 설치한다. GrandSoft Exploit Kit을 이용하여 Ramnit 뱅킹 트로이 목마를 유포하고, Rig Exploit Kit를 이용하여 Amadey와 클립보드 하이재커를 유포하였다. Amadey 트로이 목마는 피해자의 컴퓨터를 봇넷에 추가하고, 컴퓨터 정보를 탈취한다. 그리고 다른 악성코드 설치 및 실행을 진행한다. 해당 클립보드 하이잭커는 Windows 클립보드에서 암호 화폐 주소를 모니터링하다고 ​​주소를 변경시키는데, 이때 사용자는 합법적인 지갑 주소로 전송하였다고 생각한다. 그리고 또다시 클립 보드 하이재커를 배포하는 때 이때는 Fallout Exploit Kits 사용을 발견하였다. Fallout Exploit Kits은 CVE-2018-8174(Microsoft Internet Explorer VBScript Engine) 및 CVE-2018-15982(Flash Player) 취약성을 대상으로한다. 그리고 마지막으로 Nemty Ransomware를 설치하는 Radio exploit kit를 발견하였다. 


3. [기사] Stealth Falcon’s undocumented backdoor uses Windows BITS to exfiltrate data
[https://securityaffairs.co/wordpress/91019/apt/stealth-falcon-backdoor-bits.html]
ESET 연구원들은 Stealth Falcon APT 그룹과 관련된 새로운 악성코드를 발견했는데, 이 악성코드는 Windows BITS를 이용하여 몰래 데이터를 유출하는 데 이용했다. Windows BITS(Background Intelligent Transfer Service)는 Microsoft Windows 운영 체제의 기본 제공 구성 요소입니다. BITS는 프로그래머 및 시스템 관리자가 HTTP 웹 서버 및 SMB 파일 공유에서 파일을 다운로드하거나 업로드하는데 사용된다. BITS 메커니즘의 남용은 감지하기 어렵고 호스트 기반 방화벽에 의해 해당 작업이 허용될 가능성이 높으며, BITS 메커니즘의 남용은 감지하기 어렵고 호스트 기반 방화벽에 의해 해당 작업이 허용될 가능성이 높으며, API 기능을 통한 기존 통신과 비교할 때 BITS 메커니즘은 COM 인터페이스를 통해 노출되므로 보안 제품을 탐지하기가 더 어렵다. 


4. [기사] 중국의 APT 공격자들, 미국 NSA의 툴 연구해 베꼈다
[https://www.boannews.com/media/view.asp?idx=82862]
중국의 해킹 그룹 APT3가 은밀히 미국 NSA의 사이버 공격 도구들을 분석하고, 리버스 엔지니어링을 통해 고급 트로이목마를 개발하는 데 성공했으며 해당 악성코드의 이름은 벰스투어(Bemstour)라고 한다. 체크포인트 연구원이 벰스투어를 분석한 결과 이터널로맨스(EternalRoamnce)라는 또 다른 NSA의 해킹 도구를 APT3가 독자적으로 개조한 것이라는 사실을 밝혔으며 이터널로맨스는 윈도우7과 8, 윈도우NT 시스템을 침투하는데 특화되어 있다. 체크포인트는 APT3가 이터널로맨스를 리버스 엔지니어링 했다고 주장했으며, 그 이유로는 이터널로맨스와 벰스투어가 악용하려는 윈도우 제로데이 취약점(CVE-2017-0143)이 동일하기 때문이라고 말했다. 게다가 APT3나 NSA 모두 CVE-2019-0703이라는 또 다른 윈도우 제로데이의 Exploit을 개발한 바 있으며, 현재는 두 취약점은 모두 패치가 된 상태이다. 체크포인트의 수석 보안 전문가인 마크 레흐틱(Mark Lechtik)는 공략당한 취약점과 취약점 공략 방식을 봤을 때 APT3의 벰스투어와 이터널로맨스는 유사한 점이 매우 많기 때문에 둘의 뿌리가 같다고 말했다. 중국 해커들이 NSA의 공격 툴을 확보한 경로는 공격자들이 NSA가 침해한 자신들의 시스템을 그대로 놔두고 계속해서 관찰했다는 걸 알아냈다.


5. [기사] Symantec uncovered the link between China-Linked Thrip and Billbug groups
[https://securityaffairs.co/wordpress/91008/apt/thrip-link-billbug.html]
시만텍 전문가들은 2018년 중국에 연결된 Thrip APT의 활동을 처음으로 공개했으며, 해당 그룹이 동남아시아에서 군사, 위성 통신, 미디어 및 교육 기관을 포함하여 동남아시아의 단체에 공격을 계속하고 있음을 확인했다. 최근 Thrip 캠페인에서는 Hannotog로 추측되는 새로운 백도어가 포함되어 있으며, 해당 맞춤형 백도어는 2017년 1월부터 손상된 네트워크에서 지속성을 유지하기 위해 사용되었다. 그리고 중국 사이버 스파이는 또한 Sagerunex 백도어 및 Catchamas 정보 도난자를 포함한 다른 도구를 사용했다. Sagerunex는 공격자에 대한 원격 액세스를 제공하는 맞춤형 백도어이며 Catchamas는 표적 공격에서 정보를 훔치기 위해 사용되는 맞춤형 빌드 트로이 목마이다. 전문가들은 Sagerunex 백도어를 분석하여 Thrip APT를 다른 그룹인 Billbug(일명 Lotus Blossom)와 연결했다. Thrip과 Billbug 그룹 사이의 연결은 중국 정부가 남아시아의 정부와 군대를 겨냥한 광범위한 간첩 활동의 배후에 있음을 확인시켜준다.

첨부파일 첨부파일이 없습니다.
태그 Joker  Malvertising  Windows BITS  APT3  Thrip APT