Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향[2018년 2월 14일] 주요 보안 이슈
작성일 2018-02-14 조회 1389

1. [기사] Olympic destroyer wiping 악성코드 생각보다 훨씬 복잡해
[https://www.bleepingcomputer.com/news/security/olympic-destroyer-data-wiping-malware-is-more-complex-than-previously-thought/]

 평창 2018 동계 올림픽 컴퓨터 네트워크를 손상시킨 올림픽 구축함 악성 코드는 이전에 생각했던 것보다 훨씬 복잡했습니다. Cisco Talos연구원이 발견한 이 악성 코드는 올림픽이 시작되기 전에 배포되었으며 내부 와이파이 및 TV 시스템의 작동 중지로 인해 개회식에서 일부 작업이 중단되었습니다. Cisco에서 어제 발표한 초기 분석을 살펴보겠습니다. 멀웨어는 매핑 된 파일 공유를 나열하고 각 공유에 대해 파일 크기에 따라 초기화되지 않은 데이터 또는 0x00을 사용하여 쓰기 가능한 파일을 지울 것입니다. 이 데이터 삭제 동작은 운영 체제가 작동하는 데 필요한 중요한 파일을 삭제하지 않을 수 있지만 네트워크 드라이브에서 공유되는 파일, 올림픽 직원 간에 공유 할 수 있을 정도로 중요한 파일을 삭제하여 일부 작업을 방해할 수 있습니다. 또 다른 분석은 올림픽 구축업자가 로컬 컴퓨터에 있는 자격 증명 목록을 가져 와서 같은 네트워크의 다른 컴퓨터에있는 새로운 바이너리를 생성한다는 것 입니다. 이 자체 변이 행위는 Olympic Destroyer가 지역 nework을 통해 확산됨에 따라 점점 더 많은 자격 증명을 수집하고 즉시 바이너리를 업데이트 할 수 있게 합니다. 정리하자면 이 멀웨어는 컴퓨터의 데이터 복구 절차를 망가뜨리고 중요한 Windows 서비스를 삭제할 수 있었으며 Windows 컴퓨터를 부팅 할 수 없게 만듭니다.

 

2. [기사] [긴급] 아시아나 공짜항공권? 페이스북 피싱!
[http://www.boannews.com/media/view.asp?idx=66797&mkind=1&kind=1]

 아시아나항공을 사칭해 설문조사 참여 시 공짜 항공권을 주겠다고 유인하는 피싱 사기가 현재 페이스북에서 진행 중인 것으로 드러났습니다. 한국인 대상으로 한 피싱 사이트는 현재 접속이 차단된 상태지만 해외 이용자 대상으로 한 공격은 공격자가 실시간으로 공격기법을 바꾸며 아직까지 진행되고 있는 것으로 보입니다. 공격자는 영문으로 작성된 가짜 이벤트 화면을 통해 이용자들에게 페이지 공유, 댓글 달기, 좋아요 누르기 등을 요구합니다. 이와 같은 수법으로 개인정보를 빼돌린 것인지, 기타 사이버 공격을 펼치는 것인지 아직까지 확인되지 않고 있습니다. 이런 사례가 처음이 아니었으며 또 다시 해당 글이 보인다면 유의해야합니다.

 

3. [기사] 새로운 AndroRAT 변형 등장
[https://www.securityweek.com/new-androrat-variant-emerges]

 악인적인 작업을 수행하는 루트 공격을 유발할 수 있는 새로운 AndroRAT 변종이 발견되었습니다. 업데이트된 맬웨어 버전은 CVE-2015-1805를 대상으로합니다. 이 취약점은 공개 된 취약점으로 인해 구형 Android 장치에서 권한 상승을 악용 할 수 있습니다. 루트 익스플로잇을 주입함으로써 침입자는 몰래 조용히 설치, 셸 명령 실행, WiFi 암호 수집 및 화면 캡처를 수행 할 수 있다고 보안 연구자들이 발견했습니다. TrashCleaner라는 유틸리티 앱으로 가장하였고 악의적인 URL에서 제공되는 것으로 나타났습니다. 처음 실행되면 TrashCleaner는 사용자에게 중국어로 표시된 계산기 앱을 설치하라는 메시지를 표시하고 장치의 UI에서 아이콘을 숨기며 백그라운드에서 RAT를 활성화합니다. 대상 취약점(CVE-2015-1805)이 2016년 초에 패치 되었지만 더 이상 정기적으로 업데이트 되지 않는 장치는 이 새로운 AndroRAT 변형에 계속 노출됩니다. 위협의 대상이 되지 않기위해서는 사용자는 타사 앱 스토어에서 응용 프로그램을 설치하지 않아야합니다. 또한 최신 보안 업데이트를 설치하고 장치의 모든 응용 프로그램을 항상 최신 상태로 유지하면 영향을 받을 위험을 줄일 수 있다고 보안 연구자는 설명합니다.

 

4. [기사] Lazarus 그룹 ... 새로운 가상화폐 탈취 캠페인 진행중
[https://www.infosecurity-magazine.com/news/lazarus-rises-again-with/]

 국제 사이버 범죄 단체 Lazarus가 탑재한 공격적인 Bitcoin-stealing 피싱 캠페인과 정교하고 새로운 멀웨어가 발견 되었습니다. 처음에 발견된 것은 홍콩에 위치한 대규모 다국적 은행의 "Business Development Executive"를위한 구인 광고로 위장한 악성 문서였는데 이는 보관용 계정을 통해 배포되었습니다. 수신자가 전자 메일에 첨부 된 악의적인 문서를 열면 이전 버전의 Microsoft Word에서 작성된 것으로 주장하는 알림을 통해 콘텐츠를 사용할 수 있도록 하게 한 후 악성 문서가 Visual Basic 매크로를 통해 수신자 시스템에 이식을 시작합니다. 맬웨어는 Bitcoin 활동을 검색 한 다음 장기간 데이터 수집을 위해 보조 임플란트를 설정합니다. 흥미로운 점은 임플란트가 이전에는 전혀 보지 못한 새롭고 정교한 공격 수준을 나타낸다는 것입니다. 피싱 캠페인은 HaoBao라고 불리며 범죄 그룹은 피싱 이메일을 통해 피고용자 모집을 미끼로 삼아 사용했고 방위 산업체와 금융기관을 대상으로 암호 해독 교환을 실시했습니다. 이들의 목표는 목표환경에 접근하여 주요 군사 프로그램의 통찰력을 얻거나 돈을 훔치는 것입니다.

 

5. [기사] 김수키(Kimsuky) 해킹조직의 한국 맞춤형 APT 공격…지금도 여전히
[http://www.dailysecu.com/?mod=news&act=articleView&idxno=30007]

 지난 2013년 카스퍼스키랩을 통해 처음 명명된 이른바 ‘김수키(Kimsuky)’ 오퍼레이션은 2018년 현재까지도 새로운 방식으로 진화를 거듭하며 한국을 타깃으로 한 APT 공격을 멈추지 않고 있습니다. 김수키 조직은 북한 정부의 지원을 받고 있는 해킹조직으로 알려져 있습니다. 수키 계열의 공격자는 주로 HWP 문서파일의 취약점을 활용한 스피어 피싱을 사용하지만, 상황에 따라 특정 대상의 이메일 계정정보 획득을 위한 고전적 피싱 공격을 복합적으로 사용합니다. 최근 공격 중 쉘코드가 포함된 코드를 살펴보면 쉘코드 실행 시 1차 디코딩이 진행되는데 이는 루틴을 통해 내부에 암호화된 코드가 복호화 과정을 거치게 되는 것입니다. 쉘코드는 특정 문자열('JOYBERTM')을 확인해 디코딩을 진행하고, 윈도우 정상 시스템 프로세스인 'userinit.exe' 모듈에 프로세스 할로윙('Process Hollowing') 기법으로 악성 코드를 작동시킵니다. 'Process Hollowing' 기법이란 신뢰할 수 있는 시스템 프로세스를 Suspended 모드로 로드한 후 해당 프로세스에 악성 패이로드 코드를 은밀히 삽입해 실행시키는 방법입니다. 그렇기 때문에 이러한 공격 기법은 파일리스 형태로 감염활동하게 되며, 정상 프로세스에 악성코드가 숨겨져 있어 탐지 회피 목적으로 활용됩니다. 또한 해외 특정 호스트 서버로 접속을 시도해 추가적인 명령도 받게되어 시스템 정보가 유출되거나 공격자 명령에 따라 추가 악성파일에 노출 될 수 있습니다. 

첨부파일 첨부파일이 없습니다.
태그 Olympic  phishing  AndroRAT변형  Lazarus  Kimsuky