Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향[2018년 2월 21일] 주요 보안 이슈
작성일 2018-02-21 조회 46084

1. [기사] 여러 단계 거쳐 페이로드 침투시키는 이메일 공격 유의
[http://www.boannews.com/media/view.asp?idx=66905&page=1&mkind=1&kind=1]
여러 단계를 거쳐 악성코드를 주입시키는 공격이 성행하고 있으며 이 공격의 목적은 비밀번호를 훔치는 것에 있습니다. 공격은 먼저 스팸 이메일의 형태로 시작합니다. 스팸 이메일의 발송 통로는 네커스(Necurs) 봇넷입니다. 이메일에 첨부되어 있는 첨부 파일은 악성 매크로 기능이 설정되어 있는 문서 파일로 워드, 엑셀, 파워포인트 포맷으로 되어있습니다. 이 공격에 있어 가장 흥미로운 점은 최종 페이로드를 정착시키기 위해 여러 단계의 공격이 이뤄진다는 것입니다(multi-stage attack). 이 공격을 발견한 보안 업체 트러스트웨이브는 “공격자 입장에서 이렇게까지 여러 단계를 거쳐 최종 페이로드를 투입시키는 건 실패 확률을 높이는 일입니다. 위험부담이 있는 것이죠. 이런 다단계 수법은 한 단계만 실패해도 도미노처럼 모두가 넘어진다. 그렇기 때문에 DOCX, RTF, HTA 등 이메일 보안 솔루션이나 네트워크 게이트웨이가 보통 통과시키는 유형의 파일들을 사용하는 것이죠. VBS나 JS스크립트, WSF 등을 사용했다면 실패 확률이 더 컸겠죠."라고 설명합니다.

 

2. [기사] MacOS를 대상으로 하는 Coldroot RAT
[http://securityaffairs.co/wordpress/69321/malware/coldroot-rat-malware.html]
Coldroot RAT(원격 액세스 트로이목마)는 MacOS 시스템을 대상으로 하는 크로스 플랫폼이며 AV 소프트웨어에서 탐지되지 않습니다. 이 악성코드는 OS High Sierra 이전 MacOS 시스템에서 키로거로 작동하여 사용자 암호 및 자격 증명을 캡처할 수 있게 합니다. 즉, 은행 계좌 정보를 훔치도록 설계되었습니다. Coldroot는 감염된 시스템이 재부팅 될 때마다 자동으로 시작되는 멀웨어로 스스로를 시작 데몬으로 설치하여 MacOS 시스템에서 지속성을 유지합니다. Coldroot RAT에는 다음과 같은 기능이 있습니다. 1) 파일/디렉토리 목록 2) 파일/디렉토리 이름 바꾸기 3) 파일/디렉토리 삭제 4) 프로세스 목록 5) 프로세스 실행 6) 프로세스 킬 7) 다운로드 8) 업로드 9) 활성 창 얻기 10) 원격 데스크탑 11) 셧다운

 

3. [기사] 2017년 3백만 개의 새로운 안드로이드 악성코드 샘플 발견
[https://www.securityweek.com/3-million-new-android-malware-samples-discovered-2017]
안드로이드 운영 체제를 겨냥한 새로운 악성코드 샘플은 2017년에 3백만 개가 발견되어 전년도에 비해 약간 감소했습니다. 1월 말, Google은 2017년에 Google Play에서 70만 개가 넘는 나쁜 앱이 삭제된 것으로 나타났으며 이는 전년도에 비해 70% 증가한 수치입니다. 안드로이드가 가장 인기있는 모바일 운영 체제이기 때문에 사이버 범죄자가 악성코드를 공식 앱 스토어에 몰아 넣으려는 시도와 함께 Google의 보호 메커니즘을 우회하는 데 중점을 두는 것은 이상한 일이 아닙니다. 또한 사용자는 기기 및 데이터를 보호하기 위해 Google의 보안 기능에만 의존해서는 안된다는 것을 보여줍니다. 적시에 악성 기능이 있는 응용 프로그램을 검색하려면 타사 보안 프로그램도 설치 및 유지 관리해야 합니다.

 

4. [기사] 북한 해커 조직, 공격 목표 확대 및 세계적 위협으로 부상
[https://www.securityweek.com/north-korean-hacking-group-apt37-expands-targets]
북한의 사이버 스파이 조직 '리퍼(Reaper)'가 전 세계 위협으로 부상하고 있으며 북한의 군사·경제적 이익을 위해 한반도를 넘어 스파이 활동을 수행하고 있다고 사이버 보안 업체 파이어아이(FireEye)가 전했습니다.  파이어아이는 보고서에서 APT37로 알려진 이 조직이 지난 몇 년간 한국에 초점을 뒀지만 작년부터 일본과 베트남, 중동의 표적물을 상대로 공격을 개시했으며, 이제 전자와 항공 우주, 자동차, 의료 산업 등 다양한 산업에 침투한 상황이라고 밝혔습니다. 파이어아이는 APT37이 북한 IP의 사용, 북한의 전형적인 근무일과 일치하는 악성코드 편집 타임 스탬프, 평양의 이익과 일치하는 목표 등 몇 가지 증거를 기반으로 북한 정부와 관련이 있다고 확신합니다.

 

5. [기사] 테슬라 해커, 아마존 클라우드 계정 도용 및 암호화폐 채굴
[http://www.getnews.co.kr/view.php?ud=CB210723333684070dd72385_16]
미확인된 해커들이 테슬라 소유의 아마존 클라우드 계정에 침입해 이를 도용하여 암호화폐를 채굴하는 데 사용한 것으로 드러났습니다. 해커들은 테슬라의 계정 외에도 테슬라 내부의 중요 데이터를 빼내간 것으로 나타났습니다. 이번 해킹 사건에 대해 피해자의 컴퓨터를 도용해 암호화폐를 채굴하는 이른바 '크립토재킹(Cryptojacking)'이라고 불리는 신종 암호화폐 사이버범죄라고 설명했습니다. 또한, 해커들은 스트라텀(Stratum)이라는 암호화폐 채굴 소프트웨어를 사용한 것으로 보이며, 이들이 채굴한 암호화폐 종류와 양, 해커들의 침입 시간은 아직까지 파악하지 못했다고 합니다.

첨부파일 첨부파일이 없습니다.
태그 multi-stage attack  Coldroot RAT  Malware  Reaper  APT37