Wins Security Information

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향[2020년 3월 6일] 주요 보안 이슈
작성일 2020-03-06 조회 504

1. [기사] Most of the attacks on Telecom Sector in 2019 were carried out by China-linked hackers
[https://securityaffairs.co/wordpress/98958/cyber-warfare-2/china-apts-telecom-sector.html#top]
2019년 중국과 연결된 사이버 스파이 그룹의 표적으로 통신 및 정부가 가장 많이 지목되었다. 통신 분야에 대한 공격의 대부분은 Wicked Panda(APT41), Emissary Panda(APT27, Bronze Union, Lucky Mouse, TG-3390), Lotus Panda(Thrip)등 중국과 연계된 해커 집단에서 비롯됐다. 또한, 중국 해커는 아시아국가의 의료, 정부, 국방 분야의 여러 조직을 타깃으로 삼았다. 그리고 APT41가 운영에 사용한 것으로 추적된 MESSAGETAP 스파이웨어나 MessageTap 백도어 등을 사용하여 개인이 송·수신하는 문자 메시지를 감시하고 수집하는데 사용된 악성코드도 발견되었다. 이러한 사건은 스파이 행위에 대한 뒷받침이 될 수도 있지만, 2019년 9월 공개된 보고서에 따르면 중국은 중앙아시아와 동남아시아의 위구르족을 추적하기 위해 통신에 대한 일부 표적 침입이 사용되었다고 주장했다. 전문가들은 범죄자들의 성향은 비교적 예측이 가능하지만 국가 배우들의 활동은 정교해 추적이 어렵다고 지적했다.


2. [기사] 또 클라우드 통한 공격! 이번에는 MS의 원노트 앱
[https://www.boannews.com/media/view.asp?idx=86804]
마이크로소프트의 메모장 겸 노트 필기 앱인 원노트(OneNote)를 활용한 피싱 캠페인이 발견됐다. 현재 공격자들은 원노트로 크리덴셜을 훔치는 데 활용되는 키로거인 에이전트 테슬라(Agent Tesla)를 주로 심고 있는데, 간혹 피싱 페이지로 연결하는 공격도 발견되고 있다. 전문가는 원노트 사용이 매우 간편하고 접근성도 뛰어나기 때문에, 공격자들은 피싱 공격 테마를 이리저리 바꿔가면서 마음껏 실험을 진행할 수 있다고 말했다. 또한, 공격자들은 원노트를 사용함으로써 여러 가지 템플릿을 바꿔가면 공격이 쉬워진다. 그리고 원노트는 원드라이브라는 클라우드 서비스에 호스팅 되어 있으며, 사이버 범죄자들은 다양한 클라우드 서비스에 자신들의 멀웨어나 피싱 페이지를 호스팅하는 기법을 최근 활용 중이다.


3. [기사] Malware campaign employs fake security certificate updates
[https://securityaffairs.co/wordpress/99025/malware/malware-campaign-security-certificate.html]
공격자들은 감염된 웹 사이트를 방문할 때 악의적인 "보안 인증서 업데이트"를 설치하도록 속여 악성 코드를 배포하는 새로운 공격 기법이 발견됐다. 해당 공격은 1월 16일부터 진행된 것으로 분석되며, 동물원부터 차량 판매점에 이르기까지 다양한 웹 사이트가 대상이 되었다. 손상된 웹 사이트는 웹 사이트의 보안 인증서가 만료되었다는 메시지를 표시하고 방문자가 '보안 인증서 업데이트'를 설치하여 웹 사이트의 내용을 올바르게 볼 것을 촉구한다. 메시지는 iframe 내에 포함되며 콘텐츠는 타사 서버에서 ldfidfa[.]pw/jquery.js 스크립트를 통해 로드되고, 스크립트가 로드되는 동안 URL 표시 줄에는 여전히 올바른 주소가 표시된다. 피해자가 업데이트 버튼을 클릭하면 파일(Certificate_Update_v02.2020.exe)이 다운로드되며, 이 실행 파일은 Mokes와 Buerak으로 추적된 두 가지 악성코드의 변종 중 하나를 인스톨한다.


4. [기사] 코로나19 사태의 중심 ‘신천지’ 비상연락처? 알고 보니 ‘비소날’ 악성코드
[https://www.boannews.com/media/view.asp?idx=86816]
최근 코로나19 사태에서 가장 큰 주목을 받는 신천지예수교 증거장막성전(이하 신천지)의 비상연락처(신천지예수교회비상연락처(1).Rcs.xlsx)와 언론홍보 관련 조직도 파일(신천지예수교 증거장막성전 총회본부 홍보부 언론홍보와 보좌 조직RCS.ppt)로 위장한 악성코드가 유포되고 있는 것으로 드러났다. 해당 악성 파일의 경우 엑셀(xlsx)과 파워포인트(ppt) 문서로 보이지만 실제로는 화면보호기(scr) 파일로 분석됐다. 악성 파일 실행 시 생성된 3개의 파일은 각각 정상 엑셀 파일을 실행하고, 화면보호기(scr) 파일을 삭제하며, 백도어 악성코드를 심는 역할을 한다. 이렇게 설치된 백도어는 레지스트리 키에 등록되어 재부팅 후에도 동작하게 되며, △프로세스 목록, 컴퓨터 이름, OS 버전 정보 전송 △파일 실행 및 종료 △추가 파일 다운로드 등의 기능을 수행하게 된다. 해당 백도어는 지난 2011년부터 한국 기관 및 기업을 타깃으로 지속적인 공격을 펼쳐온 ‘비소날(Bisonal)’ 악성코드로 분석됐다.


5. [기사] 랜섬웨어 공격은 지금도 계속된다! 하다하다 ‘코로나’ 랜섬웨어까지
[https://www.boannews.com/media/view.asp?idx=86817]
최근 코로나 19 바이러스 감염증 확진자 수치가 계속 증가하고 있고, 대중들의 관심과 공포가 집중되고 있는 상황에서 코로나(Corona) 바이러스 이슈를 노리고 ‘코로나’ 랜섬웨어(Corona Ransomware)라는 명칭을 사용하는 랜섬웨어가 등장했다. 해당 랜섬웨어는 완전히 새로운 형태는 아니며, 2019년 11월경에 유포된 바 있는 ‘Hakbit’ 랜섬웨어의 변종으로 추정된다. 특히, 이번에 유포된 ‘코로나’ 랜섬웨어에 감염될 경우 사용자에게 보여주는 랜섬노트의 내용에는 피해자가 공격자에게 돈을 지불하면 받을 수 있는 decoder를 ‘Corona decryption’이라고 명명하고 있으며, 랜섬노트 최하단에는 ‘Corona ransomware’라는 이름을 적시해 놓았다. 지난 1월 30일경 제작된 것으로 확인되고 있으며, 피해자에게 암호화한 파일에 대한 복구를 위해 300달러 가치의 비트코인 지불을 요구하고 있다.  ‘코로나’ 랜섬웨어를 비롯한 ‘Sodinokibi’와 ‘Makop’ 랜섬웨어 등 다양한 랜섬웨어가 기승을 부리고 있는 만큼 사용자들은 출처가 불분명한 이메일 첨부파일의 다운로드를 지양하고, 신뢰할 수 없는 웹사이트에 접속하는 일을 자제할 필요가 있다.

첨부파일 첨부파일이 없습니다.
태그 OneNote  Certificate Update  Bisonal  Corona Ransomware