Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향[2018년 5월 10일] 주요 보안 이슈
작성일 2018-05-10 조회 809

1. [기사] 대전대학교 해킹범 검거... 4만 3,413명 개인정보 유출
[http://www.boannews.com/media/view.asp?idx=69215&mkind=1&kind=1]
지난 8일 대전대학교 사이버교육 시스템을 해킹한 범인이 경찰에 붙잡혔습니다. 2016년 3월 범행 당시 XX대학교 학생이었던 해커는 대전대의 사이버교육 시스템 취약점을 발견, 파이썬 프로그램을 통해 시스템 서버에 있던 학생과 교직원 등 43,413명의 개인정보를 유출한 혐의를 받고 있습니다. 유출된 개인정보는 이름, 아이디, 패스워드, 주소, 연락처, 이메일, 학과, 학년 등으로 조사됐습니다. 해당 정보를 룩셈부르크에서 운영하는 클라우드 서버에 보관하던 해커는 지난 3월 5일경 다크웹에 홈페이지를 만들어 학생 이름을 검색하면 목록 형태로 개인정보를 화면에 노출했습니다. 경찰은 대전대학교 사이버교육 시스템 서버, 망구성도, 웹로그, 다크웹 사이트에 게시되어 있던 홈페이지 소스를 분석·추적한 결과 학교내 망 일부에서 다크웹 토르 패킷이 발견됐습니다. 발신 IP를 추적한 결과 해킹범이 구축한 가상사설망(VPN)에서 개인정보 유출 등의 범죄 혐의를 포착했습니다. 아울러 경찰은 현재까지 4만 3천여명의 개인정보가 다크웹과 일반 웹사이트에 추가 유출된 사실은 발견되지 않았으나, 피해자들은 가입한 웹사이트의 비밀번호를 수시로 변경하고, 바이러스 프로그램을 최신 버전으로 업데이트하는 등 2차 피해 방지를 위해 노력해줄 것을 당부했습니다.

 

2. [기사] 향상된 하이드 앤 시크, 시스템 껐다 켜도 남아있어
[http://www.boannews.com/media/view.asp?idx=69253&kind=1&sub_kind=]
하이드 앤 시크(Hide 'N Seek)라는 사물인터넷 봇넷이 업그레이드 됐다고 보안 업체 비트디펜더(Bitdefender)가 발표했습니다. 하이드 앤 시크는 1월에 처음 등장한 것으로, 최근에 성능이 훨씬 좋아져서 나타났습니다. 최신 버전은 4월 말 경에 발견된 것으로, 표적으로 삼을 수 있는 취약점과 기기의 종류가 훨씬 늘어났다고 합니다. 하이드 앤 시크의 새 변종은 최근까지 9만 여대의 고유한 기기들을 감염시켰으며, 공격을 개시할 경우 크나큰 위협으로 변모할 수 있습니다. 또 눈에 띄는 건 ‘공격 지속성’을 위한 기능이 추가됐다는 것입니다. 1월만 해도 지속(persistence) 모듈이 없었으며, 기기를 껐다가 다시 켜면 공격이 무효화될 수밖에 없었던 것입니다. 이제는 사용자가 기기를 리부트시켜도 공격이 남아있을 수 있게 되었습니다. 한 번 텔넷을 통해 감염에 성공하면, 멀웨어가 스스로를 etc/init.d/에 복제하고 스타트업 메뉴에 추가합니다. 그래서 OS가 새로 시작될 때마다 자기도 시동이 걸릴 수 있게 해두었습니다. 지난 3개월 동안 하이드 앤 시크 봇넷은 꾸준한 성장세를 보여 왔으며, 특히 2월부터 5월까지의 기간 동안에만 6만 5천여 대의 기기를 감염시키는 데 성공했다고 비트디펜더는 설명합니다.

 

3. [기사] 메일로 날아온 교통범칙금 고지서, 사실은... 랜섬웨어
[http://www.boannews.com/media/view.asp?idx=69213&page=1&mkind=1&kind=1]
최근 기승을 부리고 있는 갠드크랩 랜섬웨어가 교통범칙금으로 위장해 이메일로 유포되고 있는 것으로 드러났습니다. 더군다나 최근에는 갠드크랩 랜섬웨어를 복구해 준다며 피해자들을 현혹하는 견적서 파일까지 나돌고 있어 더욱 신경써야 합니다. 입수한 이메일에 따르면 공격자는 ‘[eFINE]위반사실 통지 및 과태료부과 사전통지서’란 제목으로 ‘사전납부고지서(사진포함).egg’ 파일을 첨부해 이메일을 통해 유포했습니다. 해당 메일 내용에는 ‘귀하의 차량이 법규위반한 사실이 확인되어 과태료 부과대상이 되었기에 이를 통지한다’며 ‘의견진술 기한 이내에 해당 경찰서(도,시군,구청) 교통민원실에 서면(전자문서포함)또는 구두로 의견을 진술할 수 있으며, 법규위반사실을 인정하는 경우에는 범칙금이 부과된다’고 안내하고 있습니다. 특히, 지난 5월 4일부터 최근까지 집중적으로 유포됐으며, 공격자는 비너스락커 랜섬웨어를 유포한 조직으로 분석되고 있습니다. 한 보안전문가는 “교통범칙금 과태료 랜섬웨어가 5일 어린이날에도 포착됐다”며 “발신 도메인도 랜섬웨어 유포 전 신규로 등록하는 등 공격을 위해 각별히 신경썼다”고 밝혔습니다.

 

4. [기사] 중국 정부 배후의 APT 그룹, 'Winnti unbrella' 존재 드러나
[http://www.dailysecu.com/?mod=news&act=articleView&idxno=34104]
보안업체 프로텍와이즈(ProtectWise)가 보고한 것에 따르면, 중국어를 사용하는 활동가들이 속한 다양한 위협 그룹들이 ‘Winnti un-brella’(윈티 엄브렐라)라고 불리며 모두 중국 정보 기관과 연결되어 있다고 합니다. 전문가들은 Winnti unbrella 하에 Winnti, Gref, PlayfullDragon, APT17, DeputyDog, Axiom, BARIUM, LEAD, PassCV, Wicked Panda, ShadowPad 등 여러 APT 그룹이 있는 것으로 추정합니다. 이들 그룹은 유사한 전술, 기술 및 절차를 보여주며 일부 경우에는 동일한 해킹 인프라의 일부를 공유하기도 합니다. 이 APT 그룹 공격의 주요 목표는 향후 멀웨어 공격을 위한 코드 서명 인증서를 찾는 것이고 부차적인 목표는 재정과 관련되어 있습니다. 또 전문가들은 “우리는 공격자가 프록시를 사용하지 않고 피해 시스템에 실수로 접근해 세션을 실행하는 사용자의 위치를 식별하는 경우도 발견했다. 이런 경우, 네트워크 블록은 221.216.0.0/13으로 차이나 유니콤 베이징 네트워크, 서성 지역이었다”고 말합니다. Winnti unbrella와 관련 조직들은 여전히 진보하고 있으며 강력한 위협이 되고 있으므로 지속적인 주의가 필요합니다.

 

5. [기사] 백도어 된 파이썬 라이브러리가 SSH 자격 증명을 훔친다
[https://www.bleepingcomputer.com/news/security/backdoored-python-library-caught-stealing-ssh-credentials/]
백도어가 Python 모듈에서 발견되었으며 npm(JavaScript) 패키지에서는 발견되지 않았습니다. 이 모듈의 이름은 Python 코드에서 SSH 연결을 처리하는 라이브러리인 Uri Goren이 개발한 SSH Decorator(ssh-decorate)입니다. 월요일 또 다른 개발자는 SSH Decorate 모듈의 여러 최신 버전에 사용자의 SSH 자격 증명을 수집하고 원격 서버로 데이터를 보낸 코드가 있음을 발견했습니다. 문제가 발생한 후 Goren은 백도어가 의도적인 것이 아니며 해킹의 결과라고 말했습니다. 그러나 사건이 Reddit에서 화제가 되고 일부 사람들이 비난을 던지자 Goren은 GitHub와 PyPI(파이썬 중앙 repo 허브)에서 모두 패키지를 제거하기로 결정했습니다. 프로젝트에 SSH Decorator(ssh-decorate) 모듈을 사용하고 있는 경우 안전한 버전은 0.27까지입니다. 버전 0.28에서 0.31는 악의적인 것으로 간주되었습니다. 라이브러리가 중앙 코드 저장소에서 백도어되고 업로드되는 것은 이번이 처음이 아닙니다.

첨부파일 첨부파일이 없습니다.
태그 하이드 앤 시크  갠드크랩 랜섬웨어  Winnti unbrella  백도어  SSH Decorator