Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향[2017년 4월 5일] 주요 보안 이슈
작성일 2017-04-05 조회 1589

1. [기사] 몰지각한 10대들의 돈벌이 해킹에 보안 전문교육 ‘불똥’
[http://www.boannews.com/media/view.asp?idx=54105&kind=1]
정보보호 전문교육을 받은 10대들이 해킹 팀을 조직해 돈을 받고 인터넷 도박 사이트 등에 디도스 공격을 해오다 경찰에 적발됐다.중·고교 친구들과 해킹 팀을 구성한 후, 인터넷 경매 사이트 등 22개 사이트를 해킹해 개인정보 1만 8,000여건을 탈취하고, 불법 도박 사이트 등에 326여회 디도스(DDoS) 공격을 한 후 약 1,500만원을 갈취한 A군(19세, 남) 등 해킹 팀 13명을 검거했다고 밝혔다.

 

2. [기사] 방글라데시 은행 해킹 용의자 ‘Lazarus’가 북한?
[http://www.boannews.com/media/view.asp?idx=54114&kind=3]
카스퍼스키랩은 방글라데시 중앙은행의 8,100만 달러 도난 사건의 강력한 용의자로 지목 받고 있는 악질 해킹 조직 ‘Lazarus’가 북한 IP와 연결된 점을 지적하며, 북한일 수도 있다는 의심을 보였다. 동남아 및 유럽 은행에 Lazarus가 남긴 정보에 대한 포렌식 분석을 수행하던 카스퍼스키랩은 이 해킹 조직이 사용하는 악성 도구와 이들이 금융 기관, 카지노, 전 세계 투자 기업의 소프트웨어 개발자를 공격하면서 어떤 식으로 활동하는지를 심도 있게 파악할 수 있었다고 밝혔다.모든 조직들은 회사 네트워크에 Lazarus 악성 코드 샘플이 있는지 정밀 검사를 수행하고, 이러한 샘플이 탐지될 경우 이를 제거하고 해당 침입 사실을 사법 기관과 사고 대응 팀에 보고할 것을 권장한다.

 

3. [기사] 이력서로 위장한 악성코드 유포...개인정보 탈취
[http://www.boannews.com/media/view.asp?idx=54106&kind=1]
이력서 파일로 위장한 악성코드가 유포되어 국내 기업들의 각별한 주의가 필요하다. 발견된 이력서 파일은 국내 대표 채용사이트에서 발송된 메일인 것처럼 위장했으며 금융권 입사지원에 대한 내용이 포함되어 있다. 이력서 파일은 채용 사이트로 연결되는 것처럼 링크를 통해 다운로드 된다. 파일을 실행할 경우 정상 워드문서로 작성된 이력서 파일을 실행해 정상인 것처럼 위장하지만 백그라운드로 악성코드가 동작한다. 악성코드는 사용자 시스템에 설치된 브라우저 종류에 따라 접속한 사이트나 저장된 비밀번호를 탈취하고, 네이트온 메신저의 사용자 정보도 가로챈다. 또한, 사용자 키보드 입력 값을 저장하고 공격자 서버로 전송한다. 

 

4. [기사] ‘스타크래프트’ 무료 다운로드로 위장한 악성파일 유포...주의!
[http://www.dailysecu.com/?mod=news&act=articleView&idxno=19408]
인기 고전 전략 게임 ‘스타크래프트(StarCraft)’의 무료 다운로드를 위장한 악성파일 유포 사례가 발견됐다이번에 발견된 악성파일 유포 사례는 이같은 스타크래프트에 대한 게이머들의 관심을 악용한 것으로 보인다.공격자는 국내 포털 사이트의 블로그나 토렌트 사이트를 통해 스타크래프트의 가장 최신 버전인 ‘1.16.1’ 게임 파일을 무료로 내려받을 수 있는 ‘다운로더기’로 위장한 악성 파일을 유포하고 있다.블로그를 통해 유포되고 있는 악성 파일은 압축 파일 형태이며, 사용자가 압축을 해제하면 스타크래프트 1.16.1 립버전.exe’라는 실행파일이 나타난다. 이 압축파일에는 ‘↓실행하면 다운’이라는 이름의 폴더가 실행 파일 상단에 함께 포함돼 있어 사용자가 악성 파일을 클릭해 설치를 진행하도록 유도하고 있다.또한 토렌트를 통해 유포되는 가짜 스타크래프트 게임 파일은 압축 형태가 아닌 게임 파일 전체를 한 번에 내려받는 형식으로 전파되고 있다. 다만 이 가짜 게임 파일의 경우 게임의 정상 실행 파일명인 ‘startcraft.exe’가 아닌 ‘스타.exe’로 이름이 변경된 악성실행파일이 포함돼 있으며, 이 파일을 실행할 경우 악성 파일에 감염되게 된다.유포된 악성 파일을 실행하게 되면 ◇시스템 정보 수집 ◇키로깅 등 악의적인 기능을 수행하기 위해 공격자 명령 제어 서버(C&C)의 명령을 대기하는 ‘좀비PC’ 상태가 되는 것으로 나타났다.

 

5. [기사] 중국 그룹, 클라우드 제공 업체 해킹 후 해당 채널로 기업 해킹
[https://www.bleepingcomputer.com/news/security/chinese-group-is-hacking-cloud-providers-to-reach-into-secure-enterprise-networks/]
[http://www.securitynewspaper.com/2017/04/04/chinese-group-hacking-cloud-providers-reach-secure-enterprise-networks/]
사이버 스파이 그룹은 클라우드 서비스 공급자 중 한 명을 먼저 위반 한 후 클라우드 서비스의 승인 된 통신 채널을 통해 회사의 보안 비즈니스 네트워크에 도달함으로써 목표를 해킹하는데 새로운 전략을 사용하고 있다. 클라우드 서비스 공급업체를 해킹하려는 이 그룹의 결정은 이러한 서비스가 엔터프라이즈 네트워크에서 보다 유비쿼터스화 되고 거의 모든 회사가 인적 자원 관리, 인벤토리 활동, 전자 메일, 또는 파일 공유 및 호스팅하기 위해 하나 이상의 클라우드 서비스를 사용하기 때문이다.

 

6. [기사] 신종 RAT, 정상 웹사이트 C2 서버로 활용 (CVE-2013-0808)
[http://www.securityweek.com/new-rat-uses-popular-sites-command-and-control]
[https://threatpost.com/new-rat-targets-koreans-and-is-skilled-at-evading-detection/124759/]
한글 워드프로세서 문서(hwp)를 포함한 이메일로 유포되는 ROKRAT.최근 연세대 메일서버를 통해 이메일 발송한것으로 밝혀졌다. 악성메일이 정상적으로 보이도록 공격자는 한국 글로벌 포럼에 나온 이메일을 보낸 주소로 사용했다. 악의적인 HWP 문서에는 잘 알려진 취약점을 악용하여 .jpg 파일로 위장하는 이진 파일을 다운로드 하기 위한 EPS (Embedded Encapsulated PostScript) 개체가 포함되어 있다. 파일이 디코딩되어 실행되면 ROKRAT 맬웨어가 피해자의 컴퓨터에 설치된다.RAT는 Twitter, Yandex 및 Mediafire와 같은 합법적 인 웹 사이트를 C & C 통신 및 등록 플랫폼으로 사용함으로써 복잡성이 증가하고 있다.이러한 웹 사이트는 조직 내에서 전 세계적으로 차단하기 어려울뿐만 아니라 HTTPS 연결을 사용하기 때문에 특정 패턴을 식별하기가 어렵다.
[Talos 분석보고서] [http://blog.talosintelligence.com/2017/04/introducing-rokrat.html]

 

7. [기사] 구글 3년간 잠복한 안드로이드 스파이웨어 발견
[http://thehackernews.com/2017/04/spy-app-for-android.html]
[https://www.bleepingcomputer.com/news/security/google-and-lookout-discover-highly-advanced-android-spyware/]
[http://securityaffairs.co/wordpress/57702/malware/android-chrysaor-spyware.html]
[https://threatpost.com/android-variant-of-notorious-pegasus-spyware-found/124781/]
구글은 자가삭제 기능으로 인해 적어도 삼년 이상 미탐지 상태로 있던 정교하게 제작된 안드로이드용 악성코드를 발견했다. 이 악성코드는 Chrysaor 로로 명명, 이스라엘의 정치인과 언론인을 주 공격목표로, 조지아와 터키, 멕시코, UAE 와 기타 여러 나라도 일부 포함돼있었다. Chrysaor 는 이스라엘 감시회사(기구?) NSO Group Technologies 의 작품으로 보인다고 밝혔다. NSO Group Technologies 는 지난해 UAE 의 인권운동가 등을 주 공격목표로 활동한 Pegasus iOS 스파이웨어의 배후로도 알려져있다. NSO Group Technologies 는 지구상 가장 정고한 모바일 스파이웨어 제작사로, 독재정권을 포함한 세계 각국의 정부기관에 판매하는 식으로 수익을 올리는것으로 보인다. 

 

8. [기사] Wi-Fi를 통해 해킹당하지 않도록 애플 기기를 iOS 10.3.1로 업데이트 할 것.(CVE-2017-6975)
[http://thehackernews.com/2017/04/iphone-ios-update.html]
[http://www.pcworld.com/article/3187378/security/apple-fixes-wireless-based-remote-code-execution-flaw-in-ios.html]
[https://www.bleepingcomputer.com/news/security/google-and-apple-issue-security-updates-for-critical-broadcom-wifi-vulnerabilities/]
[https://nakedsecurity.sophos.com/2017/04/04/update-your-iphone-to-avoid-being-hacked-over-wi-fi/?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+nakedsecurity+%28Naked+Security+-+Sophos%29]
애플은 100개 이상의 버그 수정 및 보안 기능 향상을 위해 iOS 10.3을 출시한지 얼마 지나지 않아 치명적인 취약점을 해결하기 위해 긴급 패치 업데이트를 진행하였다.그 중 하나는 해커가 Wi-Fi 칩에서 임의의 코드를 실행할 수 있도록 허용 할 수 있는 취약점(CVE-2017-6975)이다. 애플은이 결함에 대한 기술적 인 세부 사항을 제공하지 않았지만, 애플 아이폰, 아이 패드 및 아이팟 터치 사용자들에게 가능한 빨리 디바이스를 업데이트 할 것을 촉구했다.

 

9. [기사] 삼성 스마트 TV, Tizen OS에 약 40가지의 심각한 취약점 존재 (0-day 들도 포함되어 있어)
[http://www.pcworld.com/article/3187549/android/report-says-samsungs-tizen-os-on-smart-tvs-is-a-virtual-playground-for-hackers.html]
[https://motherboard.vice.com/en_us/article/samsung-tizen-operating-system-bugs-vulnerabilities]
삼성의 자체 개발 OS는 원격으로 악용 될 수있는 약 40 개의 알려지지 않은 제로 데이 취약점을 가지고 있다.Tizen의 보안 취약점은 Gear S3 와 같은 스마트 워치를 포함한 OS의 모든 형태에 영향을 미친다. 이스라엘 연구원 아미하이 네이더 만은 취약점 대부분은 20년전에 프로그래머들이 만든 실수 들이라고 하며, 삼성은 이러한 결함을 예방하고 잡는데 필요한 기본 코드 개발 및 검토 방법이 부족하다고 비판했다.

첨부파일 첨부파일이 없습니다.
태그   5일