Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향[2019년 12월 3일] 주요 보안 이슈
작성일 2019-12-03 조회 140

1. [기사] [긴급] ‘강주경 입사지원서’ 정체? 비너스락커 조직의 랜섬웨어 최신 버전
[https://www.boannews.com/media/view.asp?idx=84917&page=1&kind=1]
최근 입사지원서나 공공기관 등을 사칭해 첨부파일 다운로드를 유도하는 랜섬웨어가 다시 창궐하고 있는 상황이다. 12월 2일 오전부터는 ‘강주경의 입사지원서’를 사칭하여 비너스락커(VenusLocker) 조직이 유포한 것으로 추정되는 랜섬웨어 Nemty Revenge 2.2 버전이 무차별 유포되고 있다. 해당 메일 본문 하단에는 서명으로 넥XXXX 대표이사 강주경이라고 회사 연락처와 개인 휴대폰도 기재돼 있다. 또한, 해당 메일 내용에는 ‘최선’을 ‘회선’이라고 표현하는 등 어눌하고 어색한 표현이 많으며, 첨부파일 ‘강주경.7z’라는 파일을 다운로드해 실행하면 랜섬웨어에 감염된다. 최근 과거에 유행했던 방식의 랜섬웨어 첨부 악성 메일이 또다시 유포되고 있는 만큼 입사지원이나 공공기관을 사칭한 메일의 첨부파일은 절대 다운로드하지 말고 유선으로 확인하거나 가급적 삭제해야 한다.


2. [기사] 악성코드 유포해 74억 건 개인정보 불법수집 후 판매한 해킹사범 3명 구속기소
[https://dailysecu.com/news/articleView.html?idxno=82827]
서울동부지검 사이버수사부(부장검사 김봉현)는 윈도우 정품인증 프로그램으로 위장하거나, 엑셀 파일로 위장한 다수의 악성프로그램을 유포한 후, 이를 이용해 약 74억 건의 개인정보를 불법수집한 후 다른 사람의 계정을 해킹하고, 게임머니·게임아이템 등을 빼돌려 판매해 억대의 범죄수익을 취득한 해킹사범 3명을 11월 28일 구속기소 했다. 이들은 PC 관리자 권한을 탈취해 원격제어, 키로깅, 파일 전송 등 기능을 가진 악성프로그램을 유포했고 장기간 소위 ‘좀비 PC’를 관리하면서 다른 사람의 계정 정보를 수집하였으며, 감염 PC를 디도스 공격에 활용하고 불법 수집한 약 74억 건의 개인정보를 다양한 범행에 이용한 것으로 밝혀졌다. 피고인 A씨(23세) 외 2명(B씨 32세. C씨 24세)은 악성프로그램 제작도구를 이용해 악성프로그램을 직접 제작하고 블로그 등에 윈도우 정품인증 프로그램으로 위장해 수차례 게시, 불특정한 여러 사람에게 다운받게 하는 방법으로 악성코드를 유포시켰으며, 이를 통해 약 4년간 1만2천여 대의 감염 PC(소위 ‘좀비 PC’)를 관리했다. 그리고 A와 B씨로부터 이름, 주민등록번호, 이메일 주소, 아이디, 비밀번호, 전화번호 등 약 74억 건의 개인정보 DB가 한편 C씨로부터 약 93만 건의 개인정보 DB가 각 발견되었고 이들은 개인정보 DB를 수차례 돈을 받고 판매하기도 한 것으로 조사됐다. 피고인들은 감염 PC와 개인정보 DB를 이용해 타인의 계정을 해킹하고 다액의 게임머니, 게임아이템을 탈취, 판매해 총 1억 4천여만 원의 불법 이익을 얻었다.


3. [기사] iOS 에뮬레이터의 오픈소스화, 애플은 어떻게 대응할까?
[https://www.boannews.com/media/view.asp?idx=84904&page=1&kind=1]
이번 주 런던에서 열릴 블랙햇 유럽에서 보안 전문가 조나단 아펙(Jonathan Afek)은 애플의 모바일 OS를 흉내 낼 수 있게 해주는 에뮬레이터를 공개할 예정이라고 한다. 이는 오픈소스 에뮬레이터인 케뮤(QEMU)를 기반으로 하고 있으며, 보안 전문가들이 iOS의 내부 사정을 더욱 깊이 이해하는 데 도움이 될 예정이다. 하지만 지난 수년 간 증명되어왔다시피, 이런 도구들은 사이버 공격자들에게도 마찬가지로 유용하다. 애플은 항상 자사 OS에 대한 유일한 통제권을 가지고 싶어 했고, 이를 침해하려는 어떠한 시도도 용납하지 않았다. 지난 8월 모바일 장비 가상화 전문 기업인 코렐리움(Corellium)을 위에 언급된 에뮬레이터와 비슷한 플랫폼을 출시했다는 이유로 고소했다. 애플은 고소장을 통해 코렐리움은 자사 제품을 두고 ‘애플 소프트웨어에서 취약점을 발견케 하는 데 도움을 주는 도구’라고 포장을 했지만, 사실은 애플의 고유 권한을 침해하는 방법을 시장에 내놓았을 뿐이라고 말했다. 그리고 코렐리움은 보안 전문가, 소프트웨어 개발자, 모바일 테스터 등 다양한 전문가들이 사이버 범죄와 싸울 수 있도록 해주는 도구라며 애플의 고소에 반박했다. 현재 아펙에 의하면 아이폰 6의 iOS 12.1 버전만 에뮬레이터가 가능하며, 현재 최근 iOS 버전에 나온 기능들을 추가하고 있다고 말했다. 아펙의 발표는 12월 4일로 예정되어 있으며, 현재 애플 측에서의 대응은 없는 상태이다.


4. [기사] StrandHogg Vulnerability exploited by tens of rogue Android Apps
[https://securityaffairs.co/wordpress/94635/hacking/strandhogg-android-attack.html]
Promon의 보안 전문가는 수십 개의 악성 안드로이드 앱에 의해 악용되고 있는 StrandHogg라는 취약점을 공개했다. 이 취약점은 Android의 멀티태스킹 시스템에 존재하며, 악성 안드로이드 앱은 StrandHogg 취약점을 악용하여 악의적인 앱이 합법적인 앱인 것처럼 가장하여 사용자에게 권한을 요청할 수 있다. 이 공격은 다양한 대상 앱이 요청하는 자연스러운 권한을 요청하도록 설계되어 피해자의 의심을 줄이고, 사용자는 자신이 사용하고 있다고 생각하는 실제 앱이 아니라 해커에게 권한을 부여하고 있음을 알지 못한다. 앱에 부여된 사용 권한은 카메라와 마이크 액세스, 기기의 위치 확보, SMS 열람, 로그인 자격증(SMS를 통한 2FA 코드 포함) 캡처, 개인 사진과 비디오 액세스, 연락처와 통화 로그 액세스, 전화를 걸거나 피해자의 대화를 녹음 등이 가능하여 사용자를 감시할 수 있다. StrandHogg 기술은 해커가 장치를 루팅할 필요없이 정교한 공격을 수행할 수 있이므로 독특하다. 또한, 모바일 보안 회사 Lookout에 따르면, 2017년 처음 발견된 BankBot 뱅킹 트로이 변종을 포함하여 전문가들이 식별한 36개의 악성 앱이 해당 취약점을 악용했다. 


5. [기사] Facebook Ads Manager Targeted by New Info-Stealing Trojan
[https://www.bleepingcomputer.com/news/security/facebook-ads-manager-targeted-by-new-info-stealing-trojan/]
공격자들은 Facebook 및 Amazon 세션 쿠키와 Facebook Ads Manager의 민감한 데이터를 훔치는 PDF 리더로 위장한 정보 유출 트로이 목마를 배포하고 있다. 주말에 MalwareHunterTeam은 수많은 사이트에서 'PDFreader'라는 가짜 PDF 편집 프로그램을 배포하는 것을 발견했으며, 이 사이트에서 배포된 실행 파일은 Sectigo에서 'Rakete Content Gmbh'로 발행한 디지털 인증서로 서명된다. 이 트로이 목마를 분석한 Vitali Kremez에 따르면 이 트로이 목마와 다른 트로이 목마 사이에는 코드 유사성이 많지 않으므로 이전 감염에서 진화한 것이 아니라 영감을 얻은 것일 수 있다고 말했다. 그리고 해당 트로이 목마는 쿠키 SQLite 데이터베이스에 액세스하여 Chrome과 Firefox에서 Facebook 세션 쿠키 탈취를 시도하며, 쿠키를 통해 추출된 정보는 Facebook URL을 연결하는 데 사용된다. account_billing URL은 사용자의 account_id 및 access_token을 추출하는 데 사용되며, Facebook Graph API 호출에서 사용자의 Ads Manager 설정에서 데이터를 훔치기 위해 사용된다. 세션 쿠키, 액세스 토큰, 계정 ID, 광고 이메일 주소, 관련 페이지, 신용 카드 정보(번호, 만료 날짜), PayPal 이메일, 광고 잔액, 지출 한도 등으로 구성된 도난당한 데이터가 컴파일되어 C2로 전송된다. 또한, 공격자는 Facebook 쿠키를 사용하여 계정에 액세스하고 자신의 광고 캠페인을 만들 수 있다. 그리고 추가로 해당 악성코드는 Amazon.com 및 Amazon.co.uk의 세션 쿠키를 훔치려고 시도하며, 공격자에게 단순히 전송만 한다. 그러나 공격자가 사용자의 Amazon 세션 쿠키에 액세스하면 해당 사용자로 로그인할 수 있다. 

첨부파일 첨부파일이 없습니다.
태그 Nemty  VenusLocker  StrandHogg  PDFreader