Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향[2018년 1월 19일] 주요 보안 이슈
작성일 2018-01-19 조회 1711

1. [기사] 가상화폐 이더리움·모네로 요구하는 랜섬웨어 출현
[http://www.boannews.com/media/view.asp?idx=66202&mkind=1&kind=1]

가상화폐인 이더리움과 모네로로 몸값을 요구하는 랜섬웨어 ‘HC9’이 국내에 등장했습니다. 이 랜섬웨어는 이더리움을 요구한 첫 번째 랜섬웨어이며, 모네로를 요구한 두 번째 랜섬웨어이기도 합니다. HC9 랜섬웨어는 버전이 계속 업데이트 되고 있으며 ‘원격 데스크톱(RDP)’의 취약한 패스워드 계정을 이용, 서버 및 PC에 침투해 감염시키는 것으로 알려져 있습니다. 특히, 조직 내부의 1대가 감염될 경우, 다른 서버 및 PC에도 전파해 감염시키기 때문에 더욱 위험합니다. 해당 랜섬웨어는 파이썬으로 제작됐으며, 랜섬웨어를 실행할 때 패스워드를 인자로 넣어 실행시켜 바이너리만 있을 경우 실행이 안되기 때문에 바이너리만 입수할 경우 분석이 어렵다고 설명했습니다.

 

2. [기사] iOS Phone 먹통으로 만드는 버그
[https://www.hackread.com/chaios-text-bomb-can-freeze-crash-your-iphone/]

애플의 iOS와 메시지(Messages)와 관련된 버그가 발견됐습니다. 이 버그는 문자 메시지를 발송하는 것만으로도 앱을 마비시켜 스마트 폰을 껏다가 다시 켜야할 때도 있습니다. 이 버그를 처음 발견한 아브라함 마스리는 이 버그를 chaiOS라고 불렀으며, 퍼징 테스트를 하다가 우연히 문제를 일으키는 문자열을 발견했다고 합니다. 정보가 탈취된다거나 하는 문제는 없지만 크롤링공격이 가능하며 더 나아가 충분히 악용될 수 있다고 봅니다. 현재 이에대한 패치는 아직 나오지 않았습니다. 

 

3. [기사] Android Play 스토어에서 Facebook 비밀번호 도용 앱 발견
[https://thehackernews.com/2018/01/facebook-password-hacking-android.html]

보안 연구원은 Facebook 로그인 자격 증명을 훔치고 사용자에게 적극적으로 팝업 광고를 표시하도록 설계된 Google Play 스토어의 최소 56 개 애플리케이션에서 GhostTeam 이라는 새로운 악성 코드를 발견했습니다. 악성 앱들은 손전등, 파일 전송 및 클리너 등과 같은 다양한 유틸리티, 성능 향상 기능 등으로 위장했으며 대부분의 악성코드 앱과 마찬가지로 앱 자체에는 악성 코드가 포함되어 있지 않아 공식 Play Store에서 관리되고 있었습니다. 맬웨어는 시스템 또는 응용 프로그램의 취약점을 악용하는 대신 고전적인 피싱 (phishing) 체계를 사용하여 작업하였습니다. 특히 개발자가 Webview를 이용한 점을 악용하여 facebook 사용자 이름과 암호를 훔쳐 이를 공격자가 원격으로 제어하는 서버로 보냈습니다. 앱을 다운로드 할 때는 항상 경계해야하며 앱을 다운로드하기 전에 앱 권한 및 리뷰를 항상 확인해야될 것 같습니다.

 

4. [기사] 북한의 라자루스 그룹, 화해 무드 상관없이 암호화폐 노린다
[http://www.boannews.com/media/view.asp?idx=66190&page=1&kind=1]

아래아한글의 취약점을 노리는 사이버 공격 캠페인이 발견되었으며 이는 라자루스 그룹(Lazarus Group)으로 대표되는 북한 해커들의 소행으로 보고있습니다. 이들은 한글 워드프로세서의 CVE-2017-8291 취약점을 노린 스피어피싱이며 Ghostscript라고 불리기도 합니다. 해당 공격은 스피어피싱 이메일 공격으로부터 시작되며 4가지 종류의 공격이 발견됐습니다. 하나는 코인링크의 사용자들을 표적으로 하는 공격, 다른 두 개는 한국의 암호화폐 거래소에서 일하는 컴퓨터 과학자 두 명의 이력서 활용, 마지막으로 한국의 외교부 서포터즈 블로그에서 온 것처럼 위장한 공격입니다. 여러 종류의 페이로드가 이번 공격에 활용되는데, 대부분 데스토버(Destover)라는 정보 탈취 멀웨어를 기반으로 하고 있는 것으로 보입니다. 라자루스는 암호화폐와 관련된 사이버 공격을 지속적으로 해온 단체이며 남북의 완화된 분위기와 상관 없이 대한민국의 암호화폐 거래소 보안을 더 강화시켜야 할 것 같습니다.

 

5. [기사] “한국도 위험” 잘못된 설정으로 클라우드서 데이터 유출
[http://www.ddaily.co.kr/news/article.html?no=164810]

최근 아마존웹서비스(AWS) 클라우드 심플 스토리지 서비스(S3)의 버킷 특정 보안설정 에러로 인해 미국 유권자의 중요한 파일, 비밀번호, 주소, 고객 데이터, 개인정보들이 인터넷에 노출되었습니다. 버킷은 데이터 스토리지를 위한 콘테이너이며 구성에 대한 오류가 발생할 경우 누구라도 인터넷을 통해 해당 데이터에 자유롭게 접근이 가능합니다. 현재 한국에서도 클라우드를 지향하고 있어 충분히 나타날 수 있는 문제라고 보고있으며 동종업계의 보안사고, 위협요소 모니터링을 통해서 사전대응 체계를 마련해야 합니다.

첨부파일 첨부파일이 없습니다.
태그 HC9  chaiOS  GhostTeam  Lazarus  Ghost