Wins Security Information

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향[2019년 11월 27일] 주요 보안 이슈
작성일 2019-11-27 조회 523

1. [기사] K-POP 사랑한 동남아 해커? 디페이스 해킹 후 한국 걸그룹 사진 ‘도배’
[https://www.boannews.com/media/view.asp?idx=84777&page=1&kind=1]
한동안 잠잠했던 인도네시아 해커들이 최근 한국을 비롯해 전 세계 웹사이트를 타깃으로 디페이스(Deface) 해킹을 이어가고 있는 가운데, 이들이 K-POP 팬임을 드러내듯 아이유, 트와이스, 아이즈원 등 한국 여가수들의 사진으로 웹사이트 화면을 바꿔놓고 있는 것으로 나타났다. 국내 보안전문가에 따르면 한국 금융 및 공공 분야 솔루션 개발업체인 유XX 웹사이트를 비롯한 보안이 허술한 전 세계 웹사이트들을 대상으로 무차별 디페이스 공격에 나서고 있는 것으로 드러났다. 이번 디페이스 해킹을 주도한 건 인도네시아 해커들로 추정되는데, 이들은 지난 2017년에도 한국 홈페이지를 타깃으로 무차별 디페이스 공격을 감행해 국내 업체들이 큰 피해를 본 바 있다. 디페이스 공격은 주로 정치적 메시지를 전달하거나 해킹에 성공했다는 실력 과시용으로 활용되는데, 인도네시아 해커들의 과시용으로 한국의 유명 여자가수들의 이미지가 악용되고 있던 셈이다. 또한, 디페이스 공격을 당했을 경우 웹사이트의 보안이 취약하다는 것을 대외적으로 알리는 상황이 되므로 신속하게 조치를 취해야 한다. 


2. [기사] Facebook and Twitter warn of malicious SDK harvesting personal data from its accounts
[https://securityaffairs.co/wordpress/94401/social-networks/facebook-twitter-warn-rogue-sdk.html]
페이스 북과 트위터는 일부 타사 앱이 동의 없이 사람들의 계정에서 개인 정보를 조용히 긁었다고 밝혔다. 이 회사에 따르면 정책을 위반하는 행동의 원인은 타사 iOS 및 Android 앱에서 사용되는 '악의적인' 소프트웨어 개발 키트(SDK)이다. SDK는 광고를 표시하도록 설계되었으며 전문가들은 소셜 네트워크의 사용자가 해당 응용 프로그램 중 하나를 사용하여 로그인하면 SDK가 자동으로 프로필에 액세스하여 정보를 수집하는 것으로 나타났다. 그리고 SDK 코드가 포함된 앱은 지정되지 않은 Android 앱을 통해 사용자 이름, 이메일 주소 및 트윗을 수집할 수 있다. 또한, 해당 문제는 Twitter 소프트웨어의 취약점이 아니라 애플리케이션 내의 SDK 간 격리 부족으로 인한 것이다. 트위터는 악성 SDK가 안드로이드 기기를 사용하여 적어도 일부 트위터 계정의 개인 데이터에 액세스하는 데 사용되었다는 것을 알고 있지만, 이 악성 SDK의 iOS 버전이 동일한 방식으로 사용되었다는 증거는 없다. 페이스북은 비슷한 목적으로 개발된 다른 두 개의 SDK를 발견했다고 발표했으며,  하나는 oneAudience에 의해 유지되고 다른 하나는 마케팅 회사인 MobiBurn에 의해 유지된다. 


3. [기사] 해킹 그룹이 노출된 API 엔드 포인트를 이용해 도커 시스템 하이재킹
[https://dailysecu.com/news/articleView.html?idxno=81735]
해킹 그룹이 도커 인스턴스에 명령을 전송하고 도커 인스턴스에 암호 화폐 채굴기를 배치해 금전적 이익을 만들어내기 위해  현재 인터넷을 대량 스캔해 API 엔드 포인트가 온라인에 노출된 도커(Docker) 플랫폼을 찾고 있다. 이 대량 스캔 작업은 11월 24일 주말에 시작되었으며 그 크기 때문에 즉시 발견되었다. 이러한 공격의 배후에 있는 그룹은 노출된 도커 인스턴스를 찾기 위해 5만 9천개 이상의 IP 네트워크(netblocks)를 스캔하며, 노출된 호스트를 식별하면 API 엔드 포인트를 사용해 명령을 실행하는 Alpine 리눅스 컨테이너를 시작한다. 특정 명령은 공격자의 서버에서 배시(bash) 스크립트를 다운로드 해 실행한다. 이 스크립트는 고전적인 XMRRig 암호화폐 채굴기를 설치한다. 이 캠패인이 활성화된 후 이틀 동안 해커들은 이미 740달러 이상의 가치인 14.82 모네로 코인을 채굴했다. 또한, 캠페인의 독창적이면서도 흥미로운 기능 중 하나는 알려진 모니터링 에이전트들을 제거하고 http://ix[.]io/1XQh에서 다운로드한 스크립트를 통해 많은 프로세스를 중단시킨다는 것이라고 말했다. 해당 스크립트를 통해 보안 제품을 비활성화하고, DDG와 같은 라이벌 암호 화폐 마이닝 봇넷과 관련된 프로세스를 종료시킨다. 그리고 감염된 호스트에서 rConfig 구성 파일을 검색해 암호화하고 탈취해 파일을 그룹의 명령 및 제어 서버로 다시 보내는 악성 스크립트 기능도 발견했으며, 해킹된 컨테이너에 백도어 계정을 만들고 SSH키를 남겨두어 보다 쉽게 접근할 수 있도록 하고 원격 위치에서 감염된 모든 봇을 제어할 수 있음을 발견했다. 


4. [기사] 구글 플레이스토어 사용자 노리는 멀웨어 투슈, 두 번째 버전 나와
[https://www.boannews.com/media/view.asp?idx=84783&page=1&kind=1]
악성 안드로이드용 애플리케이션들을 대거 분석한 결과 투슈(Tushu)라는 소프트웨어 개발 키트의 새로운 버전이 대거 발견됐다. 투슈는 올해 구글 플레이 스토어에서 여러 앱을 감염시키다가 발각된 것으로, 이번에 발견된 건 두 번째 버전이다. 먼저 첫 번째 투슈가 나타난 건 2019년 1~3월, 구글 플레이 스토어에서 유통되던 게임 애플리케이션인 크레이지 브레인스토밍(Crazy Brainstorming)에서 제일 처음 발견됐다. 주로 광고 사기와 관련된 공격 캠페인에 사용됐고, 크레이지 브레인스토밍은 미국에서만 100만 번 넘게 다운로드됐다. 앱의 코드에 포함된 문자열을 분석했을 때 이 소프트웨어 개발 키트의 개발자는 1tu1shu.com인 것으로 보이며, 추적을 통해 이 악성 개발 키트가 심어진 구글 애플리케이션이 71개나 더 발견됐다. 그 후 6개월이 지나고 투슈와 비슷한 악성 광고 앱이 다시 한번 구글 플레이 스토어에 등장했고, 악성 앱들은 8월 중순 즈음 스토어에 등록되었다가 9월에 사라졌다. 난독화와 분석 방해 기능에서 여러 가지로 투슈와 비슷한 면모를 보여주었으며, 전체적으로 업그레이드된 모습이었다. 또한, 두 번째 투슈의 경우 중국 오픈소스 프로젝트인 이지프로텍터(EasyProtector)에서 따다가 가져온 코드가 있는 것으로 나타났다. 


5. [기사] New DeathRansom Ransomware Begins to Make a Name for Itself
[https://www.bleepingcomputer.com/news/security/new-deathransom-ransomware-begins-to-make-a-name-for-itself/]
데스랜섬(DeathRansom)이라는 새로운 랜섬웨어는 시작부터 난항을 겪었지만, 이제는 이 문제를 해결하고 피해자들을 감염시키고 그들의 데이터를 암호화하기 시작했다. 데스랜섬이 처음 배포될 때 파일을 암호화하는 것처럼 보였지만, 추가된 .wctc 확장명을 제거하면 파일을 다시 사용할 수 있었다. 그러나 11월 20일경부터 피해자의 파일이 실제로 암호화 될 뿐만 아니라 랜섬웨어 식별 사이트인 ID Ransomware에서 데스랜섬과 관련된 제출이 급증했다. 최초의 급증 이후 숫자는 감소했지만, 여전히 끊임없이 새로운 희생자가 발생하고 있으며, 이는 대부분 활발한 배포 캠페인이 진행되었음을 의미한다. 하지만 하직 해당 랜섬웨어가 어떻게 배포되고 있는지 발견하지 못했다. 한 가지 이상한 점은 데스랜섬에 감염된 수많은 피해자가 STOP 랜섬웨어에 감염된 것이며, STOP 랜섬웨어는 애드웨어 번들과 크랙을 통해서만 배포되므로 데스랜섬도 비슷한 방식으로 배포될 가능성이 있다.

첨부파일 첨부파일이 없습니다.
태그 Deface  SDK   Docker  Tushu  DeathRansom