Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향[2020년 4월 2일] 주요 보안 이슈
작성일 2020-04-02 조회 366

1. [기사] 정부 후원 해커조직 라자루스, 인천시 감염병관리지원단 사칭 사이버공격
[https://www.boannews.com/media/view.asp?idx=87328&page=1&kind=1]
인천광역시 감염병관리지원단으로 속인 악성 이메일(스피어 피싱) 공격이 발견되어 사용자들의 각별한 주의가 요구된다. 이번 이메일은 ‘[긴급 조회]’라는 발신지와 ‘인천광역시 코로나바이러스 대응’이라는 제목으로 유포됐으며, 공격자는 특정 집회 참석자 중 코로나19 바이러스 확진자가 발생했고, 이메일 수신자 역시 동일 집회에 참석했다는 신고가 있다고 안내하고 있다. 또한, 행적 파악을 위해 특정 시간대 동선을 첨부된 파일로 작성해 제출하라고 안내하며 파일 실행을 유도한다. 해당 HWP 문서파일을 실행하게 되면, 동시에 취약점을 악용해 특정 해외(이란)의 명령제어(C2) 서버를 통해 악성코드가 추가 작동된다. 실행된 악성코드는 파일 및 폴더 정보를 수집하며 추가 명령을 통해 백도어 등의 각종 악성파일을 몰래 설치해 잠재적인 위협에 노출될 수 있게 된다. 이스트시큐리티 ESRC 센터장은 이번 공격이 기존 정부 후원을 받는 APT 조직 ‘라자루스(Lazarus)’로 강하게 의심되고 있어 상세한 분석이 진행되고 있다고 강조했다.


2. [기사] 여러 산업으로 퍼지고 있는 쾀퍼스, 의료 산업의 자료 빼간다
[https://www.boannews.com/media/view.asp?idx=87334]
쾀퍼스(Kwampirs)라는 멀웨어가 여러 산업으로 퍼지고 있다고 미국의 FBI가 경고했다. 현재 이 쾀퍼스는 세계 곳곳에서 특히 의료 기관들과 병원들을 성공적으로 공략하는 중이다. 쾀퍼스는 일종의 백도어로, 오렌지웜(Orangeworm)이라는 공격 단체와 관련이 있는 것으로 알려져 있다. 그나마 다행이라면 쾀퍼스에 파괴나 데이터 삭제를 위한 모듈이 포함되어 있지 않다는 것이다. 이 멀웨어는 모듈 구성으로 되어 있어 공격자들이 상황에 따라 유연하게 대처할 수 있다. FBI는 여러 정보를 보다 집요하게 노리는 것이 가능하다는 뜻도 되지만, 모듈 하나하나를 엔드포인트 보호 솔루션 등으로 전부 잡아내기가 힘들 수도 있다는 것이 문제라고 짚었다.


3. [기사] Windows 용 Zoom 클라이언트를 통해 해커가 사용자의 Windows 암호를 훔칠 수 있음
[https://securityaffairs.co/wordpress/100906/hacking/zoom-windows-client-flaw.html]
전문가들은 원격 공격자가 Windows 시스템에서 로그인 자격 증명을 훔치기 위해 악용할 수 있는 'UNC 경로 주입' 결함에 대해 경고한다. 이 공격은 원격 SMB 서버에 연결할 때 사용자 이름과 NTLM 암호 해시를 제공하는 SMBRelay 기술을 활용한다. Windows용 Zoom 클라이언트는 원격 UNC(Universal Naming Convention) 경로를 지원하며 채팅에서 수신자를 위해 URL을 하이퍼링크로 변환한다. 공격자는 채팅을 통해 조작된 URL(예:\ xxxxzyz)을 피해자에게 보내서 Zoom Windows 사용자의 로그인 자격 증명을 훔칠 수 있다. 또한, John the Ripper와 같은 특정 도구를 사용하여 해킹된 비밀번호를 캡처할 수 있다. 전문가들은 이 문제를 Zoom에 보고했지만, 아직 수정되지 않았다고 한다.


4. [기사] 8년 된 VelvetSweatshop 트릭을 사용하여 유포되는 LimeRAT 멀웨어
[https://securityaffairs.co/wordpress/100856/breaking-news/limerat-velvetsweatshop-technique.html]
Mimecast 위협 센터의 연구원들은 Excel 파일을 사용하여 8년된VelvetSweatshop 버그를 사용하여 LimeRAT 악성 코드를 유포하는 새로운 캠페인을 발견했다. 공격자는 LimeRAT 페이로드를 포함하는 읽기 전용 Excel 파일을 만든 다음 피해자에게 보낸다. 공격자가 암호를 설정해 엑셀 파일을 암호화한 뒤 피해자들이 이메일을 받으면 해커들이 메시지 내용에 포함된 암호를 이용해 첨부 파일을 열도록 속인다. 이 캠페인의 공격자들은 스프레드시트의 내용을 암호화하여 공격과 페이로드가 숨기는 등 탐지 회피 시도에 다른 기술을 혼합했다. Mimecast는 파일이 첨부된 전자 메일에 대한 면밀한 조사, 고급 멀웨어 방지 기능이 있는 전자 메일 보안 시스템의 사용, C2 서비스에 대한 아웃바운드 연결에 대한 네트워크 트래픽 모니터링 및 엔드포인트 보안 시스템을 지속해서 업데이트할 것을 권고했다.


5. [기사] 새로운 Raccoon Stealer, Google Cloud Services를 사용하여 탐지 회피
[https://securityaffairs.co/wordpress/100869/malware/raccoon-abuses-google-services.html]
연구원들은 구글 클라우드 서비스를 남용하고 여러 가지 전달 기술을 활용하는 Raccoon Stealer를 발견했다. 이 멀웨어는 현재 이용 키트, 피싱 캠페인을 통해 배포되며 다른 멀웨어와 함께 번들로 제공된다. Trend Micro가 분석한 캠페인은 공격용 키트 Fallout과 Rig를 사용했는데, 그 특징은 탐지를 피하기 위해 Google Drive를 사용하는 것이었다. 연구원들은 C2 서버로 사용되는 67개의 IP 주소를 확인했는데, 그 중 상당수는 구글 클라우드 서비스와 연관되어 있다. Trend Micro는 기업들은 Raccoon 악성코드를 경계하고, Raccoon이 채택한 여러 가지 배치 방법에서 단서를 얻는 방어책을 마련해야 한다고 조언했다.

첨부파일 첨부파일이 없습니다.
태그 Lazarus  Kwampirs  LimeRAT