Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향[2018년 5월 14일] 주요 보안 이슈
작성일 2018-05-14 조회 884

1. [기사] Nigelthorn 악성코드, 10만개 이상의 시스템 감염
[https://www.securityweek.com/nigelthorn-malware-infects-over-100000-systems]
새로 발견된 Nigelthorn 변종은 신원 도용, 암호 해독, 클릭 사기, 기타 악의적인 행동을 통해 이미 10만대 이상의 컴퓨터를 감염시켰습니다. 사용자는 가짜 YouTube 페이지에 리다이렉트되어 Google Chrome 확장 프로그램을 설치하여 동영상을 재생하도록 요청합니다. 일단 설치를 승인하면 브라우저에 악성 확장이 추가되고 시스템이 봇넷에 등록됩니다. 악성코드는 Windows 및 Linux 시스템에 모두 영향을 미치며 Chrome에 의존하기 때문에 이 브라우저를 사용하지 않는 사용자는 위험하지 않다고 보안 전문가는 말합니다. 캠페인 뒤에 있는 공격자가 희생자를 페이스북으로 리디렉트할 때 URL 단축 서비스를 사용하여 사용자가 그들의 로그인 자격 증명을 드러내도록 합니다. 또한, 확장 기능이 설치되면 악의적인 JavaScript가 실행되어 명령 및 제어(C&C) 서버에서 초기 멀웨어 구성을 다운로드합니다. Nigelthorn 악성코드 자체는 Facebook 로그인 자격 증명과 Instagram 쿠키를 훔치는 데 중점을 두고 있으며, Facebook API로 사용자를 리디렉션하여 C&C로 전송되는 액세스 토큰을 생성합니다. 도난된 자격 증명은 전파에 사용되며 Facebook Messenger의 메시지를 통해 또는 태그가 포함된 새 게시물을 통해 사용자의 네트워크에 악의적인 링크를 전파합니다. 피해자의 연락처에 있는 또 다른 이가 링크를 클릭하면 감염 과정이 반복됩니다.

 

2. [기사] [긴급] 현재 입사지원 사칭 랜섬웨어 유포 확산...피해 속출...주의!
[http://www.dailysecu.com/?mod=news&act=articleView&idxno=34170]
한국의 유명 취업 전문 웹사이트의 채용 공고와 지원 문의로 위장한 '갠드크랩(GandCrab) 랜섬웨어(Ransomware)' 이메일이 급속도로 전파된 탓에 피해가 속출하고 있어 기업의 채용 및 인사담당자들의 각별한 주의가 요구됩니다. 공격자는 2016년 말부터 한국의 특정 기관 및 기업, 고유 커뮤니티에 속한 개인들을 상대로 약 1년 넘게 랜섬웨어 유포를 수행하고 있는 것으로 분석됐습니다. 이스트시큐리티 측은 "이번 공격에 대해 이전에는 주로 이메일에 압축된 형태로 악성 파일(LNK, EXE, DOC)을 첨부해 사용했는데, 최근에는 이메일 본문에 악성 URL 링크를 한글로 연결시켜 클릭을 유도하고 다운로드된 압축파일 내의 'resume.js' 스크립트 파일로 랜섬웨어가 설치하도록 변경한 상태"라고 설명했습니다. 'resume.js' 자바스크립트 파일은 분석 및 보안 탐지 회피 목적으로 코드가 난독화되어 있습니다. 기업의 인사 담당자가 악성 스크립트 파일을 실행할 경우, 호스트가 미국 소재인 명령제어(C2) 서버로 통신을 시도하여 EXE 랜섬웨어 파일을 다운로드합니다. 공격자는 C2 서버에 시간차를 두고 계속 변종 EXE 파일을 등록해, 새로운 변종 랜섬웨어를 지속적으로 유포하는데 활용하고 있습니다.

 

3. [기사] 북미정상회담 앞두고 청와대 사칭 피싱 공격 발견
[http://www.boannews.com/media/view.asp?idx=69359&page=1&mkind=1&kind=1]
이번엔 남북정상회담 관련 내용을 주제로 한 청와대 사칭 피싱 메일이 포착되고 있습니다. 특히, 북한을 전문적으로 연구하는 사람들을 타깃으로 하고 있어 북한 전문가들은 계정 정보 등이 탈취되지 않도록 각별한 주의가 필요합니다. 이번에 발견된 악성 메일은 ‘2018년 남북정상회담에 대한 중국의 반응과 전망’이란 제목으로 5월 11일 발송된 것으로, 89KB 크기의 남북정상회담 관련 파일이 첨부돼 있습니다. 이와 관련해 보안전문가는 “북한 전문가를 타깃으로 계정 정보 탈취, 감시 목적 등의 피싱 메일이 뿌려지고 있다”며 “첨부 파일을 열려면 로그인 계정 정보를 입력해야 하는데 현재 네이버, 다음, 네이트 등 국내 주요 포털사 계정 메일을 활용하고 있다”고 밝혔습니다. 특히, 문서 보안과 자료의 외부 유출로 인한 피해를 막기 위해 문서를 암호화했다며, 받은 즉시 메일을 삭제하라는 문구로 중요 문서로 인식되도록 했습니다. 이번 피싱 공격의 배후로는 북한이 거론되고 있습니다. 보안전문가는 “북한 추정 사이버공격으로 의심된다”며 “지금까지 분석한 바로는 기존 북한 공격 방식과 수법 등이 유사하다”고 분석했습니다.

 

4. [기사] 제품 주문서 내용으로 위장, 드롭박스 접속 유도...피싱 메일 주의
[http://www.dailysecu.com/?mod=news&act=articleView&idxno=34163]
최근 국내에 불특정 다수를 대상으로 한 계정 탈취 목적의 피싱 메일이 유포되고 있어 각별한 주의가 요구됩니다. 이번에 발견된 피싱 메일은 제품 주문서 내용으로 위장하고 첨부 파일의 실행을 유도합니다. 첨부 파일 'PRODUCT ORDER 20180320.pdf'은 드롭박스에 문서가 업로드되었다는 내용을 담고 있으며 이를 통해 드롭박스로 연결을 유도합니다. 이용자가 드롭박스에 문서가 업로드된 것으로 생각하고 'VIEW ON DROPBOX' 버튼을 클릭할 경우, 드롭박스가 아닌 이메일 주소 및 비밀번호 입력을 유도하는 피싱 사이트로 접속됩니다. 이메일 주소와 비밀번호를 입력하고 'Sign in'을 누를 경우 추가적으로 휴대폰 번호 혹은 복구 이메일 주소 입력을 유도합니다. 하지만 실제로 공식 드롭박스 사이트로 입력한 정보를 전송하는 것이 아니며, 공격자의 서버(mysecuritychange.net)로 입력한 정보들이 전송되기 때문에 개인 메일 계정 정보 유출에 따른 추가 피해가 발생할 수 있습니다. 따라서 출처가 불분명한 메일에 있는 링크나 첨부 파일에 대해 각별히 주의해야 합니다.

 

5. [기사] Ubuntu Snap Store에서 발견된 악의적인 암호화폐 마이너
[https://www.bleepingcomputer.com/news/linux/malicious-package-found-on-the-ubuntu-snap-store/]
우분투 사용자가 우분투 스냅 저장소의 공식 소스 코드에 숨어있는 암호화폐 마이너를 발견했습니다. 이 앱의 이름은 2024 게임의 복제품인 2048buntu로, 우분투 OS용으로 비교적 새로운 앱 형식입니다. Tarwirdur라는 GitHub 사용자에 따르면, 이 애플리케이션에는 부팅 지속성을 제공하는 init 스크립트와 함께 "systemd" 데몬으로 위장한 암호화폐 마이닝 애플리케이션이 포함되어 있었습니다. 이 코드는 이메일 주소가 "myfirstferrari@protonmail.com"인 사용자 계정에 대한 BCN(Bytecoin) 암호화폐를 채굴하는 코드였습니다. 이 보고서에 이어 우분투 스냅 스토어팀은 앱 개발 업체의 다른 스냅 패키지와 함께 추가 조사가 진행될 때까지 앱을 삭제했습니다. 또한, 우분투 스냅 스토어팀은 설치 횟수를 제공하지 않으므로 영향을 받는 사용자의 수를 알 수 없습니다. 누구나 스냅 패키지를 만들어 우분투 스냅 저장소에 제출할 수 있으며, 제출된 스냅은 iOS App Store 및 Google Play 스토어에 제출된 앱과 비슷한 보안 검사를 거치지 않습니다.

첨부파일 첨부파일이 없습니다.
태그 Nigelthorn  랜섬웨어  피싱 공격  피싱 메일  마이너