Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향[2019년 10월 24일] 주요 보안 이슈
작성일 2019-10-24 조회 469

1. [기사] IoT 보안 위협은 이미 우리 옆에 도사리고 있다
[https://www.boannews.com/media/view.asp?idx=83979&page=1&kind=3]
디지서트 부사장이자 IoT 보안 담당인 마이크 넬슨은 아직도 많은 IoT 기기 제조사들이 보안보다는 제품 출시에 집중하고 있다면서 눈앞의 이익보다는 장기적인 안목으로 IoT 기기에 대한 보안을 강화해야 한다고 강조했다. 또한, IoT 기기의 보안을 위해서는 크게 3가지 조건이 만족되어야 한다고 말했다. 첫 번째로 IoT 기기는 연결하는 제품이기 때문에 안전하게 사용하기 위해서는 서로의 ‘신뢰성’ 즉, ‘인증’이 필요하고, 두 번째는 IoT 기기가 방대한 데이터를 생산하는 만큼 이를 보호할 수 있는 ‘암호화’ 기술이 필요하다. 마지막 세 번째는 IoT 기기가 만든 데이터의 무결성이다. IoT 기기가 만든 데이터에 따라 커다란 손실을 입을 수도 있기 때문이다. 그리고 IoT 보안은 협업이 중요하며, 정부와 제조사, 보안기업은 물론 해당 산업의 기업들도 참여해야 한다고 강조했다.


2. [기사] Exploring the CPDoS attack on CDNs: Cache Poisoned Denial of Service
[https://securityaffairs.co/wordpress/92859/hacking/cpdos-attack-cdns.html]
쾰른 기술 대학교의 두 연구원은 공격자가 CDNs(Content Delivery Networks)를 캐싱하여 합법적인 콘텐츠 대신 오류 페이지를 제공하는 데 사용할 수 있는 새로운 웹 공격을 고안했다. 새로운 공격의 이름은 CPDoS(Cache-Poisoned Denial-of-Service)로 명명되었으며 세 가지 변형이 존재하고, 실제 환경에서는 대부분의 다른 웹 캐시 공격과 달리 실용적으로 보인다. 웹 캐싱 메커니즘을 통해 HTTP 응답을 재사용하여 원본 서버에 도달하는 요청 수, 리소스 요청으로 인한 네트워크 트래픽 볼륨 및 리소스 액세스 지연 시간을 줄일 수 있으며, CPDoS 공격은 이 메커니즘을 대상으로 하며, 잘못된 형식의 HTTP 요청 헤더로 인한 오류 페이지를 수신하고 저장하는 CDN을 목표로 한다. 또한, 전문가들은 CPDoS 공격이 전 세계에 위치한 여러 캐시 서버에 영향을 줄 수 있지만, 모든 에지 서버가 영향을 받는 것은 아니라고 설명했다.


3. [기사] Experts believe the Magecart Group 5 could be linked to the Carbanak APT
[https://securityaffairs.co/wordpress/92849/cyber-crime/magecart-group-5-link-carbanak.html]
Malwarebytes의 연구원들은 Magecart 그룹과 Dridex 피싱 캠페인과 Carbanak 사이버 범죄 그룹의 연관성을 찾았다. Magecart 그룹에서 가장 활발한 조직 중 하나인 Magecart Group 5가 Carbanak 범죄 조직과 관련이 있는 것으로 추측된다. 연구원은 Magecart Group 5와 관련된 캠페인과 관련된 여러 도메인을 분석했고, GDPR이 발효되기 전에 등록된 도메인에 대해 등록자가 Dridex 피싱 캠페인 및 Carbanak 그룹과 연결되어 있음을 발견했다. 전문가들이 분석한 도메인은 잘 알려진 중국 도메인 등록 기관인 BIZCN/CNOBIN을 통해 등록되었다. 전문가들은 공격자들이 프라이버시 보호 서비스를 사용하여 8개의 다른 최상위 도메인 아래에 도메인 정보 제공자를 등록했지만 같은 정보를 informaer.info에 사용하는 것을 잊었으며, informaer.info를 분석한 결과 등록자가 사용한 전화번호와 이메일 주소는 각각 +86.1066569215와 guotang323@yahoo[.]com으로 밝혀졌다. 


4. [기사] ‘라자루스 그룹’ 공격 재개 징후 포착...텔레그램 기반 
[https://www.boannews.com/media/view.asp?idx=83969&page=2&kind=1]
미국이 북한 정찰총국 산하 해킹그룹으로 지목한 3개 해킹그룹(라자루스 그룹, 블루노로프, 안다리얼) 중 한 곳인 ‘라자루스(Lazarus)’가 다시금 APT 공격에 나선 징후가 포착됐다. 이스트시큐리티 시큐리티대응센터(이하 ESRC)에 따르면 이달 22일 자체 모니터링 시스템을 통해 라자루스 그룹이 제작한 것으로 추정되는 악성 파일이 발견됐으며, 연인심리테스트.xls라는 한글로 된 질문이 있는 엑셀(Excel) 문서 형식과 Album.app이라는 맥기반 응용 프로그램으로 동시 발견되었다고 설명했다. 또한, 새롭게 발견된 라자루스 그룹 추정 공격 역시, 각 OS에서 동작하는 악성 파일이 동시에 발견된 점으로 미루어보아 공격자가 멀티플랫폼 기반의 위협에 본격화한 것으로 판단하고 있다. 그리고 이번 공격이 지난 6월에 암호 화폐 사용자를 대상으로 했던 공격과 연관성이 매우 높고 윈도우와 맥OS 등 멀티 플랫폼에 대한 공격 가능성이 증대된 만큼, 기업과 기관은 물론 개인 사용자도 메신저 등에서 받은 파일을 열어볼 때 각별한 주의를 기울일 필요가 있다고 당부했다 


5. [기사] 안드로이드용 뱅킹 멀웨어 구스터프, 다음을 기약게 하는 업그레이드
[https://www.boannews.com/media/view.asp?idx=83977&page=1&kind=1]
최근에 발견된 안드로이드용 뱅킹 트로이 목마인 구스터프(Gustuff)가 업그레이드되어 다시 나타났다고 시스코 탈로스(Cisco Talos) 팀이 발표했다. 업그레이드된 구스터프에는 패키지 이름이 하드코딩 되어 있지 않아 족적을 많이 남기지 않으며, 운영자들이 내부 명령어를 사용해 스크립트를 실행할 수 있도록 해준다. 이를 위해 자바스크립트를 적극적으로 활용하게 되었는데, 안드로이드  악성코드로서는 흔치 않은 경우이다. 원래 구스터프는 마처(Marcher)라는 뱅킹 트로이목마를 기반으로 만들어진 것이지만 이번 업그레이드 버전에서는 둘 사이의 공통점이 많이 사라졌다고 한다. 또한, 구스터프는 업그레이드 이후로 웹뷰(WebView)의 동적 로딩도 지원하고, C2 명령 분석 결과 세금과 사회 보장과 관련된 정부 기관의 포털 사이트를 타깃으로 하는 것을 발견할 수 있었다. 결국 커다란 캠페인 측면에서는 바뀐 게 그리 많지 않기 때문에 공격 성공률이 그리 높은 건 아니다. 하지만 악성코드의 기능은 대폭 바뀌었고, 감염에 성공하면 더욱 부드럽고 효율적으로 공격을 진행할 수 있다. 

첨부파일 첨부파일이 없습니다.
태그 CPDoS  Magecart  Carbanak  Lazarus  Gustuff