Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향[2020년 1월 15일] 주요 보안 이슈
작성일 2020-01-15 조회 202

1. [기사] [긴급] 배송 대행 업체 산타빌리지 해킹... 해커, 개인정보 볼모로 협박중
[https://www.boannews.com/media/view.asp?idx=85747&page=1&kind=1]
해외 직구(직접 구매) 배송 업무를 대행하는 배송 대행 업체인 산타빌리지가 해킹을 당한 것으로 드러났다. 특히, 해커가 개인정보 DB를 볼모로 금전을 요구하고 있는 것으로 알려져 2차 피해가 우려된다. 산타빌리지 측은 해킹의 주목적은 산타빌리지의 운영 방해로 지난 5년간 주문서와 회원 정보를 삭제해 왔으며, 복원하면 해킹해 다시 삭제하는 상황이 반복돼 왔고, 산타빌리지 측에 금전적인 거래를 요구한 상태였다고 말했다. 해당 카페에 해커는 고객 리스트에는 이메일 주소, 성명(영문 이름 포함), 전화번호, 이메일 등이 그대로 노출돼 있었고, 댓글에는 “용돈만 조금 챙기주시면 됩니다. 30분 안으로 연락 없으면 67260명 상세회원정보 언론사 신문사 네이버 유튜브 페이스북 공개하겠습니다.


2. [기사] [긴급] ‘통일외교안보특보 발표 문서’ 사칭 스피어피싱 공격... 김수키 추정
[https://www.boannews.com/media/view.asp?idx=85743&page=1&kind=1]
‘통일외교안보특보 세미나 발표 문서’를 사칭해 특정 관계자 정보를 노린 스피어피싱(Spear Phishing) 공격이 발견돼 관련 업계 종사자들의 각별한 주의가 필요하다. 해당 악성 DOC 문서 파일을 열어보면 MS워드 프로그램 상단에 보안 경고창이 나타나는 동시에 문서를 정상적으로 보기 위해 경고창의 ‘콘텐츠 사용’ 버튼을 누르도록 유도하는 영문 안내가 나타난다. 이번 공격은 실제 지난 6일(현지 시간) 미국 싱크탱크 국익연구소가 워싱턴DC에서 2020년 대북 전망을 주제로 한 세미나를 진행한 것으로 알려졌으며, 실제 발견된 악성 문서 파일명은 ‘문정인 대통령 통일외교안보특보 미국 국익센터 세미나.doc’ 이다. 만약 수신자가 세미나 발표자료로 착각해 이 문서를 실행하고 매크로 사용을 허용할 경우 한국의 특정 서버에서 추가 악성코드를 설치하고, 사용자 PC의 △시스템 정보 △최근 실행 목록 △실행 프로그램 리스트 등 다양한 정보를 수집하는 동작을 수행하는 동시에 공격자의 추가 명령을 대기하는 이른바 좀비 PC가 된다. 또한, 특정 정부의 지원을 받는 것으로 알려진 김수키(Kimsuky) 조직의 이전 공격과 악성코드 제작 기법, 공격 스타일 등이 대부분 동일해 해당 조직의 소행으로 추정된다. 


3. [기사] Why Russian APT Fancy Bear hacked the Ukrainian energy firm Burisma?
[https://securityaffairs.co/wordpress/96393/apt/fancy-bear-ahcked-burisma.html]
도널드 트럼프 미국 대통령 탄핵 심판의 중심에 있는 우크라이나 에너지기업 Burisma를 러시아와 연결된 사이버 스파이 그룹 Fancy Bear이 해킹했다. Burisma Holdings 직원과 그 자회사 및 파트너 직원의 이메일 자격 증명을 대상으로 진행 중인 러시아 정부 피싱 캠페인이며, 우크라이나 석유 및 가스 회사를 상대로 한 캠페인은 러시아 육군 또는 GRU의 중앙 정보국(Main Intelligence Directorate)이 시작했다. 자격 증명을 위한 피싱을 통해 사이버 행위자는 신뢰할 수 있는 액세스 방법 (예 : 유효한 사용자 이름 및 암호)'를 사용하여 관찰하거나 추가 조치를 취함으로써 조직의 내부 시스템을 제어 할 수 있다. 자격 증명이 피싱되면 공격자는 목표를 달성하기 위해 조직 내에서 은밀하게 작업 할 수 있다. 또한, 2020년 미국 선거와 관련한 GRU 캠페인의 시기는 2016년 미국 선거에서 사이버 공격이 성공적으로 수행된 이후에 우리가 예상했던 것에 대한 조기 경고라는 추측을 불러일으킨다.


4. [기사] China-linked APT40 group hides behind 13 front companies
[https://securityaffairs.co/wordpress/96364/apt/china-linked-apt40-front-companies.html]
익명의 보안 연구원 그룹 Intrusion Truth는 APT40으로 추적된 중국 관련 사이버 스파이 그룹이 하이난섬에서 13개의 주요 회사를 이용하여 해커를 모집하고 있음을 발견했다. 연구원은 중국 정부가 지원하는 네 번째 해킹 작전을 중지시켰으며, 기업들로부터 그곳에서 일하는 개인을 식별한 다음 이 회사들과 개인을 APT와 주에 연결하는 것이 가능하다는 것을 알게 되었다. 이미 APT3(광둥성 출신), APT10(톈진성 출신), APT17(진안성) 등 다른 지방에서도 활동하고 있는 다른 APT그룹을 추적했으며, 마지막 그룹은 현재 남중국해의 섬인 하이난 지방에서 활동하고 있다. Intrusion Truth는 Hainan의 그룹을 특정 중국 APT 그룹과 연관시키지 않았지만, FireEye 및 Kaspersky 연구원은 중국 연결 그룹이 APT40(TEMP.Periscope, TEMP.Jumper 및 Leviathan)으로 보고 있다. APT40 그룹은 최소한 2013년부터 활동해 왔으며, 베이징 정부의 해군 현대화 노력을 지원하는 데 주력하고 있는 것으로 보인다.


5. [기사] 신종 랜섬웨어 ‘락빗’ 등장...타깃형 랜섬웨어 특징 갖춰
[https://www.boannews.com/media/view.asp?idx=85750&page=1&kind=1]
신종 랜섬웨어 ‘락빗(LockBit)’이 발견돼 주의가 요구된다. 주로 국외에서 유포되고 있는 이 랜섬웨어는 지금까지 국내에서는 유포된 바가 포착되지 않았지만, 타깃형 랜섬웨어의 특징을 지니고 있다는 점에 국내 기관 및 기업들의 주의가 요구된다. 이전 갠드크랩(GandCrab)과 같은 서비스형 랜섬웨어(RaaS)는 암호화된 파일의 복구를 위해 토르(tor) 브라우저를 통해 금전을 요구하지만, ‘락빗(LockBit)’ 랜섬웨어는 파일 복구에 대한 금전 요구를 특정 이메일을 제시했다는 점에서 RaaS형 랜섬웨어로 보이지 않는다고 센터는 분석했다. 또한, ‘락빗(LockBit)’ 랜섬웨어 악성코드의 공격 대상 파일 확장자는 ‘abcd’이며, 악성코드 감염 이후 변경되는 바탕화면 파일을 시스템의 임시폴더(%TEMP%)에 생성하며 파일명은 매번 다르게 저장된다.

첨부파일 첨부파일이 없습니다.
태그 Kimsuky  Fancy Bear  APT40  LockBit