Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향[2020년 11월 4일] 주요 보안 이슈
작성일 2020-11-04 조회 5411

1. [기사] 북한의 킴수키, 최근 두 가지 무기 새롭게 들이고 더 강력해져
[https://www.boannews.com/media/view.asp?idx=92305&page=1&mkind=1&kind=1]
보안 업체 사이버리즌(Cybereason)이 북한의 킴수키가 새로운 무기를 손에 넣었다고 발표했다. 킴수키가 최근 확보한 무기 중 하나는 KGH_SPY이다. 민감한 정보를 탈취하고, 사용자를 가시 하며, 임의 명령을 실행하고, 백도어를 심는 등 다양한 기능을 수행하는 요소들로 구성되어 있다. 여러 가지 강력한 기능을 가지고 있음에도, 현재까지 그 어떤 백신 제품도 이를 탐지하지 못하고 있다. 또 다른 무기는 CSPY다. 멀웨어 탐지 도구들을 피해 가는 기능을 가지고 있다. 사이버리즌은 새로운 도구들을 봤을 때 킴수키가 최근 정보 수집에 더욱 집중하고 있다는 것을 알 수 있었다며 제약 부문과 싱크탱크 단체들, 한반도 외교 부문 전문가들이 더욱 조심해야 할 것이라고 전했다.

 

2. [기사] 오염수 방류하려는 일본, 원자력 핵심 네트워크 해킹 의혹
[http://www.cctvnews.co.kr/news/articleView.html?idxno=212866]
최근 일본의 후쿠시마 원전 오염수 방류가 국제적 문제가 되는 가운데, 일본 원자력규제위원회(이하 NRA) 네트워크 시스템이 중단됐다는 보도가 나왔다. 일본 방송사 NHK에 따르면, NRA는 지난 10월 26일 17시 네트워크 시스템에 대한 무단 접속 시도를 발견했으며, 이에 27일 17시부터 이메일 송수신을 일시적으로 중단해 네트워크를 통한 외부와의 접촉을 차단하고, 내부 시스템에 관한 조사를 진행하고 있다고 한다. 일본 오카다 카츠야 국무부 차관은 중요 정보는 망 분리를 통해 별도 네트워크에 저장되기 때문에 해커가 원자력 발전소의 핵심 정보에 접근할 수 없었을 것이라 밝혔다. 또한 원인 분석 이후 이 같은 사고 재발을 철저하게 방지할 것을 강조했다.


3. [기사] 현재 해커들이 공격에 활발히 사용하는 윈도 제로데이 취약점…주의
[https://www.dailysecu.com/news/articleView.html?idxno=115970]
구글 프로젝트 제로의 Ben Hawkes(벤 호크스)는 트위터를 통해 현재 활발히 악용되고 있는 윈도 운영체제 제로데이 취약점(CVE-2020-17087)을 공개했다. 해당 취약점은 구글이 최근 공개한 크롬 브라우저 제로데이 CVE-2020-15999와 연결되어 있다. 구글은 보안 권고문에서 "윈도 커널 암호화 드라이버는 DeviceCNG 장치를 사용자 모드 프로그램에 노출하고, 사소하지 않은 입력 구조를 가진 다양한 IOCTL을 지원한다. 샌드박스 탈출과 같은 권한 상승을 위해 악용 가능한 로컬 액세스 공격 표면을 구성한다"라고 설명했다. 구글 프로젝트 제로팀은 지난주 마이크로소프트에 해당 취약점 해결을 위한 7일을 주었지만, 아직 해결되지 않은 상태이다.


4. [기사] 백도어 기능으로 인해 삭제된 npm 라이브러리
[https://securityaffairs.co/wordpress/110348/malware/npm-library-backdoor.html]
npm 보안팀은 저장소에서 컴퓨터에 백도어(backdoor)를 설정하기 위한 코드가 들어 있는 'twilio-npm'이라는 악성 자바스크립트 라이브러리를 제거했다. Twilio라이브러리에는 JavaScript/npm/Node.js 프로젝트 내에서 라이브러리를 다운로드하고, 가져온 UNIX 기반 시스템에서 TCP 리버스 셸을 여는 코드가 포함되어 있었다. 이 패키지가 설치되어 있거나 실행 중인 컴퓨터는 완전히 손상된 것으로 간주해야 한다.


5. [기사] Windows 가상 머신을 대상으로 하는 새로운 랜섬웨어 RegreLocker
[https://www.bleepingcomputer.com/news/security/new-regretlocker-ransomware-targets-windows-virtual-machines/]
지난 10월 발견된 ReassionLocker 랜섬웨어는 파일을 암호화할 때 악의적이지 않아 보이는 .mouse 확장자를 붙이지만, 가상 하드 드라이브를 암호화하고 암호화를 위해 열린 파일을 닫을 수 있는 등의 고급 기능을 사용한다. ReassionLocker는 장황한 랜섬 노트 없이 통신에 이메일을 사용하기 때문에 외관상으론 단순해 보이는 랜섬웨어다. RegretLocker는 Windows Virtual Storage API OpenVirtualDisk , AttachVirtualDisk 및 GetVirtualDiskPhysicalPath 기능을 사용하여 가상 디스크를 마운트하고 각 파일을 개별적으로 암호화한다. 가상 스토리지 API를 사용하는 것 외에도 Windows Restart Manager API를 사용하여 암호화 중에 파일을 열어 두는 프로세스나 Windows 서비스를 종료한다. RegretLocker는 현재로서는 그다지 활발하지 않지만, 주의해야 할 것으로 보인다.

첨부파일 첨부파일이 없습니다.
태그 KGH_SPY   CSPY  CVE-2020-17087  twilio-npm  RegreLocker