Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향[2019년 9월 24일] 주요 보안 이슈
작성일 2019-09-24 조회 455

1. [기사] New North Korean malware targeting ATMs spotted in India
[https://www.zdnet.com/article/new-north-korean-malware-targeting-atms-spotted-in-india/]
카스퍼스키 전문가들이 ATMDtrack이라고 명명한 새로운 악성코드는 2018년 여름부터 인도 은행 네트워크에서 발견되었다. 또한, DTrack이라는 RAT 악성코드가 인도 연구소를 대상으로 한 것을 발견하였다. 그리고 연구원은 2013년 한국을 대상으로 라자루스 그룹이 귀속된 Operation DarkSeoul에 사용되었던 악성코드와 DTrack 계열로 추측되는 악성코드의 변종이 매우 유사하다는 것을 밝혔다. 라자루스 그룹(Lazarus Group)은 열흘 전 은행, ATM 네트워크, 도박 사이트, 온라인 카지노, 암호화된 환전소에 대한 사이버 공격을 조직하여 합법적인 사업체로부터 돈을 훔치고 북한의 무기 및 미사일 프로그램을 위한 자금을 모금한 혐의로 미 재무부의 제재를 받은 북한 해커 그룹 3개 중 하나이다. 또한, DTrack은 라자루스 그룹의 최신 작품 중 하나인 것으로 보이며, 카스퍼스키는 2018년 늦여름에 처음으로 탐지하고, 2019년 9월 이번 달에 가장 활발하게 활동하는 것으로 나타났다. 최근 DTrack 샘플은 다음 작업을 수행 할 수 있다.
1) Keylogging
2) 브라우저 기록 검색
3) IP 주소, 사용 가능한 네트워크 및 활성화된 연결에 대한 정보 수집
4) 실행중인 프로세스 정보 수집
5) 사용 가능한 모든 디스크 볼륨 검색


2. [기사] 입사지원서 위장한 Nemty 랜섬웨어 또 유포!
[https://www.boannews.com/media/view.asp?idx=83142&page=1&kind=1]
한동안 잘 보이지 않던 입사지원서 위장 악성메일이 또 다시 등장했다. 이번 공격은 최근 기승을 부리던 Nemty 랜섬웨어를 이용한 공격으로, 역시 비너스락커(VenusLocker) 그룹의 소행으로 분석된다. 이스트시큐리티 시큐리티대응센터(ESRC)는 23일 ‘(이름) 지원서’로 위장하여 Nemty 랜섬웨어를 유포하는 악성 캠페인 정황을 포착했으며, 지원서를 위장한 악성 메일 유포는 비너스락커 조직의 수행으로 추정된다. 이전에도(9월 11일) 비너스락커 조직은 Nemty 랜섬웨어를 유포한 바가 있다. 이번에 발견된 스팸 캠페인은 한메일 계정을 통해 발송됐으며, 기존에 발견된 메일과 동일하게 입사지원서를 사칭했다. 메일의 첨부파일은 7z 형식으로 압축되어 있고, 압축파일 내부에는 hwp 문서로 위장한 악성 EXE 랜섬웨어가 포함되어 있다. 파일명에 긴 공백을 넣고, 아이콘을 변경하여 얼핏 보았을 때 hwp 파일인 것처럼 보이도록 위장하였다.


3. [기사] 포스포인트의 VPN 클라이언트에서 권한 상승 취약점 발견돼
[https://www.boannews.com/media/view.asp?idx=83129]
보안 업체 포스포인트(Forcepoint)의 윈도우용 VPN 클라이언트(VPN Client)라는 소프트웨어서 취약점이 발견됐다. CVE-2019-6145가 부여된 해당 취약점은 공격자들이 익스플로잇 할 경우 권한을 상승시키고, 공격 지속을 위한 발판을 마련할 수 있게 되며, 심지어 방어막을 뚫을 수도 있다고 한다. 공격자가 포스트 익스플로잇 단계에서 이 취약점을 익스플로잇 할 수 있다. 취약점이 발견된 건 VPN 클라이언트 6.6.1 이전 모든 버전이고, 해당 취약점을 패치하여 6.6.1을 배포하였다. VPN 클라이언트는 보통 윈도우가 부팅되면서 함께 시작되는데, 이 과정부터 공격자가 악의적으로 개입하는게 가능하며, 세이프브리치에 따르면 취약점이 두 곳에 위치한 프로그램(C:Program.exe와 C:Program Files (x86)ForcepointVPN.exe)을 실행하려고 시도하는데, 여기서부터 오류가 드러난다고 설명한다. 따라서 이미 시스템에 대한 접근 방법을 확보한 공격자의 경우, 이 취약점을 악용해 위 두 장소에 악성 실행파일을 저장해두면 공격이 가능하게 된다. 


4. [기사] 금융정보 노리는 가짜 ‘페이팔’ 피싱 사이트 발견
[https://www.boannews.com/media/view.asp?idx=83133&page=1&kind=3]
최근 글로벌 온라인 결제 시스템 ‘페이팔(PayPal)’을 사칭한 피싱 사이트가 발견돼 사용자들의 주의가 요구된다. 해당 피싱 사이트는 사용자가 로그인 한 후, 주소를 업데이트할 때 입력하는 개인정보를 입력하면 해당 정보를 탈취하는 목적으로 제작됐다. 사용자가 가짜 페이팔 로그인 사이트로 접근하게 되면 이메일주소와 비밀번호 입력을 요구하는 페이지가 나온다. 해당 페이지에 정보를 입력하고 제출하게 되면 결제정보를 업데이트하라는 웹사이트가 나타나게 되며, 또 다른 피싱 페이지로 이동하게 된다. 해당 페이지에서는 사용자의 이름, 주소, 전화번호 등과 사용자의 신용카드 정보까지 탈취한다. 또한, 사용자의 IP주소를 GET 방식으로 탈취하는데 이는 사용자의 국가를 확인하기 위한 것으로 추측된다.


5. [기사] Beware of Google Alert Links Leading to Malware and Scams
[https://www.bleepingcomputer.com/news/security/beware-of-google-alert-links-leading-to-malware-and-scams/]
Google 알리미는 Google 검색 색인에 관심 있는 키워드와 관련된 새 페이지가 표시될 때 이메일이나 업데이트된 RSS 피드를 받을 수있는 유용한 서비스이다. 이 서비스에 익숙하지 않은 사용자를 위해 Google 알리미를 통해 모니터링하려는 키워드를 제출할 수 있습니다. 알림을 만드는 방법에 따라 이러한 키워드와 일치하는 새 페이지가 발견되면 Google에서 이메일을 보내거나 RSS 피드를 업데이트한다. 지난 1년간 공격자가 Google 검색 색인에 악의적인 사이트를 주입하여 사용자에게 Google 알리미를 전송하는 것을 발견했다. 사용자가 이러한 경고 중 하나를 클릭하면 가짜 증정품 제공 페이지, 기술 지원 사기, 원치 않는 확장 프로그램 또는 악성코드 설치 페이지에 도달할 때까지 일련의 다른 페이지를 통해 리디렉션된다. 이러한 유형의 낮은 품질과 악의적인 사이트로부터 자신을 보호하는 가장 좋은 방법은 경고를 생성할 때 개수 옵션을  가장 우수한 검색 결과만 출력되도록 지정하는 것이다

첨부파일 첨부파일이 없습니다.
태그 ATMDtrack  Lazarus  Nemty  VenusLocker  Google Alert