Wins Security Information

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향[2017년 8월 29일] 주요 보안 이슈
작성일 2017-08-29 조회 2279

1. [기사] 해킹당한 안드로이드 스마트폰으로 이루어진 WireX 봇넷
[http://thehackernews.com/2017/08/android-ddos-botnet.html]
[https://www.bleepingcomputer.com/news/security/security-firms-unite-to-bring-down-wirex-android-ddos-botnet/]
공식적으로 알려진 앱 스토어에서 앱을 내려받아도 안전할것이라는 생각을 할 수 없는 때가 왔다.
여러 보안 회사 연구원들은 해킹당한 여러 안드로이드 스마트폰으로 이루어진 네트워크집단을 발견하였다. WireX라 불리는 이 봇넷은 구글 플레이 스토어에서 악의적인 앱을 작동시키는 스마트폰으로 이루어진 네트워크 집단을 의미하며, 다랑의 애플리케이션 DDoS 공격을 하도록 고안되어진것으로 조사되었다. Akamai, CloudFlare, Flashpoint, Google, Oracle Dyn, RiskIQ, Team Cymru 등 여러 보안회사에서 이 봇넷과 싸우기 위해 함께 일을 하고 있으며, 알려진 바에 의하면 8월 17일까지 약 12만대의 안드로이드 스마트폰이 감염된것으로 알려졌다. 구글은 이 봇넷을 확인한 뒤 약 300개의 WireX 앱(주로 러시아, 중국, 다른 아시아 지역에서 다운로드되는)을 블록하는데 성공하였으며,  이 봇넷은 점차 작아지는것으로 확인되었다. 한편 구글은 Play Protect 보안 제품을 이번에 새롭게 출시하였으며 이 애플리케이션은 구글 플레이 스토어에 존재하는 악의적인 애플리케이션이 설치되었을 경우 바로 삭제를 요구하는 특징을 가지고 있다.

 

2. [기사] 사라하(Sarahah) 앱을 사용하고 있다면 주의하세요!
[http://thehackernews.com/2017/08/sarahah-privacy.html]
[http://www.yonhapnews.co.kr/bulletin/2017/07/19/0200000000AKR20170719015600091.HTML?input=1195m]
사우디아라비아 소프트웨어 프로그래머 Zain al-Abidin Tawfiq가 지난 2월 초 출시한 이 무료 앱은 아랍어로 '솔직함'이라는 뜻을 갖고 있다. 이 앱은 익명으로 친구와 직장 동료들 간 피드백을 주고받으면서 자신의 강점과 약점을 발견하는 데 도움을 주기 위해 만들어졌다고 개설자는 설명하고 있다. 하지만 최근 보안 연구자인 Zachary Julian에 따르면, 이 앱을 설치하는 동시에 좋지 않은 이유로 사용자 휴대전화 연락처 정보와 이메일 등의 개인정보 일부가 회사 서버에 전송되는것으로 확인되었다. 개인 정보 취급 방침에 따르면 데이터를 사용할 계획을 가지고 있다면 동의 여부를 묻는 메시지가 표시되는데, 설령 사용자가 동의를 한다고 하더라도 이 앱에서 수집하는 모든정보를 전부 포함하지않것이 이슈가 되고 있다. 이에 따라 개발자인 Tawfiq는 수신된 정보는 앱을 위해 사용될 목적이었으며 특별히 악의적인 의도는 없다고 해명하고 있으며 이 후 다음 업데이트에서 데이터 요청 메시지를 제거할 예정이라고 말했다. 한편 사라하 앱은 iOS와 안드로이드에서 지난 6월을 기점으로 유튜브, 인스타그램, 스냅챗을 능가하는 최고의 인기앱으로 자리잡고 있다.

 

3. [기사] 새로운 BTCWare 랜섬웨어 발견
[https://www.bleepingcomputer.com/news/security/new-nuclear-btcware-ransomware-released/]
새로운 랜섬웨어 변종인 BTCWare가 ID-Ransomware의 Michael Gillespie 연구원에 의해 발견되었다. 이 랜섬웨어는 암호화된 파일에 [이메일].nuclear 확장자로 변화하는것을 특징으로 하고 있다. 이 랜섬웨어는 Remote Desktop Services(원격 서비스)를 사용하는 컴퓨터 중 패스워드를 약하게 설정한 컴퓨터를 대상으로 주로 배포 되고 있다. 일단 공격자가 특정 컴퓨터로의 접근이 가능해 진다면, 그들은 희생자 컴퓨터에 침입하여 파일을 암호화하는 랜섬웨어를 설치한다. 불행히 아직까지 무료로 해당 랜섬웨어에 의해 암호화된 파일을 해독하는 방식은 존재하지 않는것으로 조사되어진다.

 

4. [기사] 중국해커. HBO 인기 시리즈 "왕좌의 게임"을 이용한 트로잔 배포 성행
[https://www.scmagazine.com/chinese-apt-group-leverage-hbo-breach-in-phishing-attacks/article/684748/]
HBO 인기 시리즈 "왕좌의 게임" 시즌 피날레가 시작되기 수 주 전 ProofPoint연구원은 유출된 에피소드로 팬들을 속이려는 중국의 APT 그룹을 발견했다. 이 그룹은 "왕좌의 게임을 미리 보고 싶습니까?" 등의 제목으로 해당 드라마의 피날레의 영상을 볼 수 있다고 광고하는 피싱 이메일을 희생자들에게 전송하여 악성 뱅킹 트로잔을 배포했다. ProofPoint 블로그 게시글에 따르면, 해당 피싱 메일에는 "game of thrones preview.docx" 의 Microsoft Word 파일이 첨부된다고 밝혀졌다. 연구자들은 악성코드가 이러한 공격의 배후에 존재할 수 있다는 것을 경고하고 있다.

 

5. [기사] 안드로이드 뱅킹 트로잔, MoqHao, SMS 피싱 메시지로 한국에서 전파중
[https://securingtomorrow.mcafee.com/mcafee-labs/android-banking-trojan-moqhao-spreading-via-sms-phishing-south-korea/]

지난 달, 많은 사용자가 다수의 의심스러운 SMS 메시지를 여러 웹사이트에 포스트 하기 시작했다. 해당 SMS 메시지에는 사용자의 개인 사진이 유출되었으니 확인할 것을 요구하며, URL을 클릭하도록 되어있다. 사용자가 해당 URL을 클릭하면, 크롬 브라우저의 업데이트를 요구하는 메시지를 보게 되는데, 이는 실제 악의적으로 조작된 가짜 크롬 안드로이드 애플리케이션이며 이것은 사용자의 뱅킹 정보를 훔쳐가는 트리거가 된다. iPad와 같은 다른 장치가 해당 URL을 접속하려고 시도할 때는 웹 서버가 사용자가 Naver 홈페이지로 리디렉트 시키는것으로 확인되고 있다. 따라서 의심스러운 URL을 포함한 메시지가 수신되었을 경우 주의가 필요되어 지고 있다.

 

6. [기사] 디프레이 랜섬웨어(Defray ransomware) 출현
[http://www.boannews.com/media/view.asp?idx=56641&mkind=1&kind=1]
특정 산업을 표적화한 랜섬웨어 공격이 이번 달 나타났다고 보안 전문 업체인 ProofPoint가 발표했다.
디프레이 랜섬웨어는 지난 15일 의료와 교육 업계를, 22일에는 제조와 기술 업계를 강타했다. 기존의 대규모 공격을 고려하고 설계된 다른 랜섬웨어와는 다르다는 특징을 가지고 있다. 해당 랜섬웨어는 Microsoft Word 문서가 첨부된 전자 메일을 통해서 배포되고 있으며 첨부된 파일을 클릭하면 랜섬웨어가 활성화 되어 데이터가 암호화 된다. 랜섬웨어의 복호화 비용은 약 5,000달러(한화 약 560만원)으로 알려져 있으며, ProofPoint 연구자들은 이 랜섬웨어가 다른 랜섬웨어처럼 수익을 내려는 목적보다는 공격자 개인적인 목적을 위해 사용하고 있다고 분석했다.

첨부파일 첨부파일이 없습니다.
태그 WireX  BTCWare  Moqhao  Defray