Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향[2020년 2월 10일] 주요 보안 이슈
작성일 2020-02-10 조회 315

1. [기사] [긴급] 신종 코로나바이러스 이슈 악용 악성 메일, 국내에도 유포
[https://www.boannews.com/media/view.asp?idx=86228&page=1&kind=1]
최근 신종 코로나바이러스 이슈를 악용한 각종 피싱 메일이 전 세계적으로 유포되고 있다. 코로나바이러스 피싱 메일은 주로 CDC(Centers for Disease Control and prevention) 혹은 바이러스 연구학자를 사칭해 피싱 메일을 유포하는 지역의 새로운 감염 사례에 대해 경고하고 ‘안전조치’를 제공하는 형태로 첨부파일 혹은 첨부 문서를 열어보도록 사용자들을 현혹하고 있다. 이스트시큐리티 시큐리티대응센터(ESRC)는 이번에 한국에서 새롭게 확인된 악성 메일도 마찬가지 형태라고 설명하면서, 메일 제목이 ‘Coronavirus Update: China Operations’라고 되어 있어 신종 코로나바이러스에 대한 메일 수신자들의 관심과 염려를 악용하고 있다고 지적했다. 악성 메일에 첨부된 첨부파일 ‘Factory Contacts and Office Resumption.pif’는 정상 프로세스 ‘Regasm.exe’에 Nanocore페이로드를 다운로드하는 코드를 인젝션시키고 이를 실행한다. 인젝션 되어 실행되는 Regasm.exe는 구글 드라이브에서 인코딩된 페이 로드를 다운로드 및 디코딩해서 실행한다. 2월 7일 오전 현재까지 한글로 작성된 신종 코로나 관련 피싱 메일을 포함한 악성 메일은 확인되지 않고 있다.


2. [기사] 텔레그램 n번방 운영자 및 음란물 유포자 등 총 66명 잡혔다
[https://www.boannews.com/media/view.asp?idx=86248]
경찰청은 2월 9일 이른바 ‘텔레그램 n번방’을 통해 사이버 성폭력 범죄를 일으킨 운영자와 공범 16명, 아동성착취물을 유통하고 소지한 50명 등 총 66명을 검거했다고 발표했다. 특히, 이들은 피해자의 개인정보를 탈취한 뒤 이를 가족이나 학교 등에 유포하겠다고 협박해 노출 사진과 영상을 받은 후 이를 유포한 것으로 알려졌다. 경찰청은 SNS를 이용한 음란물 유통은 검거가 쉽지 않자 전문가들로 구성된 ‘텔레그램 추적 기술적 수사 지원 TF’를 만들어 수사한 것으로 알려졌다. 향후 이렇게 구축된 조직과 기술력을 활용해 △텔레그램 등 SNS △다크웹 △음란사이트 △웹하드 등 이른바 사이버 성폭력 4대 유통망을 단속하겠다고 밝혔으며, 2월 10일부터 6월 30일까지 텔레그램 등 SNS와 다크웹, 음란사이트와 웹하드 등 사이버 성폭력 4대 유통망을 집중적으로 단속하겠다고 말했다.


3. [기사] 김수키 공격 그룹의 ‘주민등록등본’ 파일 위장 APT 공격 발견
[https://www.boannews.com/media/view.asp?idx=86220&page=2&kind=1]
‘김수키(Kimsuky)’ 공격 그룹이 2월 6일 한 교육원 관계자의 주민등록등본으로 위장한 APT 공격을 시작한 것으로 알려져 관계자들의 주의가 요구된다. 이번 공격은 지난 2019년 12월 4일 공개된 바 있는 ‘청와대 녹지원/상춘재 행사 견적서 사칭 APT 공격’의 3번째 변종으로 확인됐다. 이스트시큐리티가 ‘블루에스티메이트’라 이름 붙인 캠페인이 지속되고 있는 가운데, 2월 6일 제작된 변종은 실제 온라인에서 발급된 특정인의 주민등록등본 화면을 보여준다. PDF 문서처럼 2중 확장자로 위장한 악성 파일은 실제 화면 보호기(SCR) 확장자를 통해 EXE 실행 파일과 동일하게 실행된다. 그리고 내부 리소스에 포함된 ‘주민등록등본.tif’ 이미지 파일을 생성하고 로드시킨다. 과거 유사 오퍼레이션의 페이로드는 각 오퍼레이션별로 차이를 보이는데, 특징적으로 C&C, 문자열, 기능 방식 등에서 차이가 존재하지만, ‘맥(MAC) 어드레스 및 시리얼 정보 수집’ 기능에서 공통된 코드를 보인다.


4. [기사] RobbinHood ransomware exploit GIGABYTE driver flaw to kill security software
[https://securityaffairs.co/wordpress/97457/malware/robbinhood-ransomware-gigabyte-driver.html]
RobbinHood 랜섬웨어의 배후에 있는 운영자는 GIGABYTE 드라이버의 취약점을 악용하여 안티바이러스 제품을 비활성화한다. 일반적으로 Windows 보안 소프트웨어 프로세스는 커널 드라이버에 의해서만 종료될 수 있으며, 커널 드라이버의 남용을 방지하기 위해 Microsoft는 드라이버 서명 확인 메커니즘도 구현한다. 공격자는 대상 네트워크에 기반을 두고 합법적인 Gigabyte 커널 드라이버 GDRV.SYS를 설치하고, 해당 드라이버의 CVE-2018-19320 취약점을 악용하여 커널 액세스 권한을 얻는다. 그리고 해당 권한을 사용하여 Windows OS 드라이버 서명 적용을 일시적으로 비활성화하고 RBNL.SYS라는 악성 커널 드라이버를 설치한다. 이 드라이버를 통해 공격자는 보안 제품을 비활성화하고, RobbinHood 랜섬웨어를 실행한다.


5. [기사] Critical Android Bluetooth flaw CVE-2020-0022 could be exploited without user interaction
[https://securityaffairs.co/wordpress/97421/cyber-crime/cve-2020-0022-android-bluetooth-flaw.html
구글은 블루투스 서브 시스템에 영향을 미치고 사용자 상호작용 없이 이용될 수 있는 안드로이드 OS의 심각한 결함을 해결했다. CVE-2020-0022로 추적된 취약성은 공격자가 무선 모듈이 활성 상태일 때 Bluetooth 데몬의 상승된 권한으로 장치에서 코드를 실행할 수 있는 원격 코드 실행 결함이다. 해당 취약점은 Android Oreo (8.0 및 8.1) 및 Pie (9)에 영향을 미치며 기술적인 이유로 Android 10에서는 악용 할 수 없으며 Bluetooth 데몬의 DoS 조건만 트리거한다. 이 섹션에서 가장 심각한 취약점으로 인해 특수하게 조작된 전송을 사용하는 원격 공격자가 권한 있는 프로세스의 컨텍스트 내에서 임의의 코드를 실행할 수 있다. 또한, 이러한 종류의 취약점을 악용할 경우, 감염된 장치에서 블루투스를 통해 접근 가능한 다른 장치로 빠르게 확산할 수 있는 모바일 악성코드 웜 행동을 구현하는데 악용될 수 있다.

첨부파일 첨부파일이 없습니다.
태그 Nanocore  Kimsuky  RobbinHood   CVE-2020-0022