Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향[2019년 11월 25일] 주요 보안 이슈
작성일 2019-11-25 조회 441

1. [기사] [긴급] 국가지원 해커조직, 한글 악성파일 변종 계속 유포중
[https://www.boannews.com/media/view.asp?idx=84740&page=1&kind=1]
지난 18일 ‘제9대 학회장 선고공고 및 입후보신청서’라는 제목의 악성 한글 문서가 국가지원 해커조직에 의해 국내에 유포된 이후, 최근 또다시 해당 악성 파일의 변종이 지속적으로 유포되고 있는 것으로 확인됐다. 해당 악성 파일은 문서 내부에 존재하는 EPS(EncapEncapsulated Postscript) 개체가 악성기능을 수행하는 것으로 드러났다. 한글 문서 내부에 악성 EPS 파일이 존재하며, 내부의 VBS 파일에 의해 파워쉘이 실행되고 이를 통해 외부 파일을 다운로드 및 실행하는 구조를 갖는다. VBS 스크립트 파일은 한글 문서 실행 시에는 동작하지 않고, 재부팅 시점에 동작하도록 시작프로그램에 등록된 것으로 분석됐다. 이렇듯 시작 프로그램에 스크립트 파일을 생성해 재부팅 시점에 악성 행위가 발생하도록 하는 것은 악성 행위가 바로 발생할 경우 다양한 보안 제품을 통해 탐지되는 것을 피하기 위한 것으로 추정되는 만큼 이용자들의 각별한 주의가 필요하다고 당부했다.


2. [기사] NSA와 CIA의 비밀 도구 공개되면서 사이버전 수준 올라갔다
[https://www.boannews.com/media/view.asp?idx=84706&page=3&kind=1]
2016년과 2017년 NSA와 CIA의 비밀 해킹 툴이 공개되면서 각 나라의 정부 지원을 받는 해커들의 실력이 전반적으로 올라갔다는 보고서를 위협 첩보 분석 전문 업체인 다크아울(DarkOwl)이 발표했으며, 최근 다크웹을 샅샅이 조사해서 발견한 ‘사이버전용’ 도구들을 분석한 결과라고 한다. NSA와 CIA의 기밀들은 각각 셰도우 브로커스(Shadow Brokers)와 위키리크스(WikiLeaks)라는 단체가 공개했다. 그 공개 과정 중에 NSA의 대량 감시 시스템인 유나이트드레이크(UNITEDRAKE)와 다중 플랫폼 CIA 멀웨어인 하이버(HIVE)가 세상에 그 모습을 드러내기도 했다. 다크아울은 이런 NSA와 CIA의 흔적들이 다크웹에 어느 정도의 범위까지 펼쳐졌나 심도 있게 조사했으며, 그 결과 두 기관의 도구들이 다크웹 구석구석에까지 광범위하게 분포되어 있었다고 말했다. 그리고 사이버 전투의 영역이 확장되었을 뿐만 아니라 그 방법까지도 크게 바뀌었으며 이전까지는 대단히 고급스러운, 최상위 수준에 있던 사이버 공격 단체들만 사용할 수 있었던 도구들이 보편화되었고, 공격자를 파악하고 추적하는 게 더 어려워졌다고 한다. 또한, 국가의 지원을 받는 사이버전 해커들도 다크웹을 이런저런 방법으로 활용하며, 특히 사회 기반 시설을 마비시키거나 정부 및 군의 주요 요소들을 타격하기 위한 공격을 할 때 다크웹을 많이 활용하는 것처럼 보인다고 말했다. 


3. [기사] Catch Hospitality Group discloses PoS malware infection at its restaurants
[https://securityaffairs.co/wordpress/94307/cyber-crime/catch-hospitality-group-security-breach.html]
Catch Hospitality Group은 악성 프로그램 공격을 받았으며, 판매 시점 악성코드는 체인점의 여러 레스토랑에서 시스템(POS)을 감염시켰다. 이 악성코드는 고객들로부터 신용카드 정보를 훔치기 위해 고안되었다. 이 악성 코드는 POS 카드를 통해 라우팅 되는 결제 카드에서 읽은 트랙 데이터 (카드 번호, 만료 날짜 및 내부 확인 코드 외에 카드 소유자 이름이 있는 예도 있음)를 검색했으며, 전문가들은 해당 악성코드가 서로 다른 기간 내에 두 곳의 결제 시스템에서 활성화되었다고 판단했다. Catch NYC (Catch Roof 포함)의 경우, 그 기간은 2019년 3월 19일부터 2019년 10월 17일까지이며, Catch Steak의 경우 2019년 9월 17일부터 2019년 10월 17일까지의 기간이었다. 또한, 이번 사건에 연루된 카드는 바에서 사용된 카드나, 대기자가 주문을 입력하는 장치에 카드가 스와핑 된 흔치 않은 상황에서 사용한 카드이다. 


4. [기사] TrickBot Trojan Getting Ready to Steal OpenSSH and OpenVPN Keys
[https://www.bleepingcomputer.com/news/security/trickbot-trojan-getting-ready-to-steal-openssh-and-openvpn-keys/]
Trickbot 은행 트로이 목마는 OpenSSH 개인 키와 OpenVPN 비밀번호 및 구성 파일을 훔치는 데 사용될 수 있는 업데이트된 암호 그래버 모듈을 연구원들은 발견했다. TrickBot(Trickster, TrickLoader, TheTrick)은 처음 발견된 2016년 10월부터 새로운 기능과 모듈로 지속적인 업그레이드를 진행하는 모듈형 악성 프로그램이다. Palo Alto Networks Unit 42의 연구원들은 11월 8일 손상된 64bit Windows7 장치에서 OpenSSH 및 OpenVPN 응용 프로그램을 대상으로하는 Trickbot 암호 캡처 모듈을 발견했다. 이들이 발견한 pwgrab64 패스워드 그래버 모듈은 구글 크롬, 모질라 파이어폭스, 인터넷 익스플로러, 마이크로소프트 엣지, 마이크로소프트 아웃룩, 파일질라, 윈SCP 등 여러 웹 브라우저와 앱에서 비밀번호를 도용할 수 있는 변종을 분석하던 중 2018년 11월 연구원들에 의해 발견되었기 때문에 새로운 추가사항은 아니다. 지난 2월, 이 비밀번호 도용 모듈은 VNC, PuTTY, RDP(원격 데스크톱 프로토콜)를 이용한 원격 서버 인증에 활용되는 자격 증명을 얻기 위해 업그레이드됐다. Unit 42 연구원은 이제 Trickbot이 HTTP POST 요청을 사용하여 OpenSSH 개인 키와 OpenVPN 암호 및 구성 파일을 해당 명령 및 제어 (C2) 서버로 보내는 것을 발견했으며, 트로이 목마가 실제로 데이터를 유출하지 않으므로 제작자가 새로 추가된 기능을 테스트만 한다는 사실을 암시한다. 


5. [기사] Kaspersky found dozens of flaws in 4 open-source VNC software
[https://securityaffairs.co/wordpress/94297/ics-scada/vnc-vulnerabilities.html]
카스퍼스키의 전문가들은 VNC(Virtual Network Computing)라는 원격 액세스 시스템의 여러 가지 구현을 분석하여 여러 가지 메모리 손상 취약점을 확인했다. 카스퍼스키는 널리 사용되는 오픈 소스 VNC 시스템인 LibVNC, UltraVNC, TightVNC 및 TurboVNC를 분석했다. 그 결과, 37개의 CVE 식별자를 할당받은 다수의 메모리 손상 취약성을 확인했으며, 일부는 악용될 경우 원격 코드 실행으로 이어질 수 있다고 말했다. 또한, 전문가들은 서버 소프트웨어와 클라이언트 소프트웨어 모두에서 총 수십 가지의 취약점을 발견했는데, 그중 일부는 공격자가 표적 시스템을 변경하기 위해 악용할 수 있다. 37가지 취약점은 현재 대부분 해결되었지만, TightVNC 1.X의 서비스가 중단되어 업데이트를 발표하지 않을 것이기 때문에 TightVNC에 문제가 있다고 지적한다. 

첨부파일 첨부파일이 없습니다.
태그 EPS  POS   TrickBot   VNC