Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 동향

앞 내용 보기 다음 내용 보기
보안 동향[2019년 10월 18일] 주요 보안 이슈
작성일 2019-10-18 조회 153

1. [기사] 대북 분야 국책연구기관’ 사칭 스피어피싱 발견...김수키 소행 추정
[https://www.boannews.com/media/view.asp?idx=83865&page=1&kind=1]
대북 분야 국책연구기관인  ‘통일연구원(KINU, Korea Institute for National Unification)’을 사칭해 특정 기관 관계자 정보를 수집하는 스피어피싱(Spear Phishing) 공격이 발견돼, 관련 업계 종사자의 각별한 주의가 필요하다. 메일에는 해당 연구기관에서 전문가 자문을 요청하는 내용을 담고 있으며, 실제로 메일에는 ‘KINU 전문가 자문 요청사항(한미동맹과 한중관계).hwp’라는 악성 한글 문서 파일이 첨부되어 있다. 해당 문서를 실행하면 악성코드에 즉시 감염되고, 사용자 PC의 시스템 정보, 최근 열람 문서 목록, 실행 프로그램 리스트 등 다양한 정보를 수집하는 동작을 수행하는 동시에 공격자의 추가 명령을 대기하는 이른바 좀비 PC가 된다. 또한, 이스트시큐리티 시큐리티대응센터는 특정 정보의 지원을 받는 것으로 알려진 김수키(Kimsuky) 조직의 이전 공격과 악성코드 제작 기법, 공격 스타일 등이 대부분 동일하기 때문에 해당 조직의 소행으로 추정하고 있다고 말했다.


2. [기사] 시스코의 에어로넷 AP 장비에서 치명적인 취약점 발견
[https://www.boannews.com/media/view.asp?idx=83861&page=1&kind=1]
네트워크 보안 업체인 시스코(Cisco)가 미국 현지 시각으로 수요일 자사에서 출시한 에어로넷(Aironet)이라는 접근점 제품에서 치명적인 취약점을 발견했다고 발표했으며, 이를 익스플로잇 할 경우 원격의 공격자가 장비에 접근할 수 있다. 해당 취약점은 CVE-2019-15260으로, 일부 URL에 대한 접근 제어 기능이 불충분해서 발생한다. 이를 이용하면 공격자는 장비에 대한 권한 상승이 가능하며, 이때 취약점을 유발하는 URL들에 대한 요청만 전송하면 된다. 공격자가 모든 설정 옵션을 다 조작할 수 있게 되는 건 아니지만, 민감한 정보를 열람하거나 일부 설정값들을 변경할 수는 있다. 취약점이 발견된 장비는 에어로넷 1540, 1560, 1800, 2800, 3800, 4800 시리즈이며, 패치가 포함된 버전은 8.5.151.0, 8.8.125.0, 8.9.111.0이다. 


3. [기사] 도커 호스트 감염시켜가며 암호화폐 채굴하는 웜 발견
[https://www.dailysecu.com/news/articleView.html?idxno=74451]
2,000여 개의 도커 호스트들이 사이버 공격에 당해 웜에 감염됐으며, 해당 웜은 사용자가 잘못 설정한 부분을 익스플로잇 함으로써 암호화폐 채굴 멀웨어를 심는 기능을 가지고 있다. 팔로알토에 의하면 이 웜의 이름은 그라보이드(Graboid)로, 꽤나 ‘초보적’인 수준으로 만들어져 있다고 한다. 그라보이드는 1)취약한 도커 데몬을 검색하고, 2)도커 호스트로 접근해, 3)도커 허브(Docker Hub)로부터 악성 이미지를 설치한 후, 4)C&C 서버로부터 다운로드받은 스크립트를 실행한다. 해당 스크립트 중, 실제 공격에 가장 많이 활용되는 것이 채굴 스크립트이다. 또한, 그라보이드가 노리는 건 소프트웨어에서 발견되는 취약점이 아니라, 사용자들이 잘못 설정하는 부분이라는 특징을 가지고 있다. 그리고 그라보이드는 기술력이라는 측면에서 수준이 높은 웜은 아니면서 공격 전략이나 방식에서도 좋다고만 말하기는 힘들지만, C&C 서버로부터 새로운 스크립트를 계속해서 다운로드 받을 수 있다는 장점이 있다.


4. [기사] Cryptocurrency miners infected more than 50% of the European airport workstations
[https://securityaffairs.co/wordpress/92616/cyber-crime/european-airport-workstations-miner.html]
Cyberbit의 보안 전문가들은 유럽 공항 워크 스테이션의 50% 이상을 감염시킨 암호화폐 마이닝 캠페인을 발견했다. 유럽 ​​공항 시스템은 올여름에 발견된, Anti-CoinMiner 캠페인과 연결된 Monero 암호화폐 마이너에 감염되었다. 전문가들은 Monero 마이너가 VirusTotal의 73개 탐지 제품 중 16개가 해당 샘플을 탐지하는 것을 확인했으며, player.exe라는 응용 프로그램을 실행하는데 사용된 PAExec 도구의 의심스러운 사용을 감지했다. PAExec은 소프트웨어를 물리적으로 설치하지 않고도 원격 시스템에서 Windows 프로그램을 실행하는 데 사용되는 합법적인 Microsoft PSExec 도구의 재배포 가능한 버전이다. PAExec 도구의 실행은 종종 공격과 관련이 있는데, 이 경우 해커들은 이를 사용하여 시스템 모드에서 Player 실행 파일을 실행한다. 해당 샘플은 다행히 공항 운영에 영향을 미치지는 않았다. 


5. [기사] Stripe Users Targeted in Phishing Attack That Steals Banking Info
[https://www.bleepingcomputer.com/news/security/stripe-users-targeted-in-phishing-attack-that-steals-banking-info/]
booby-trapped Stripe 고객 로그인 페이지를 사용하여 고객의 은행 계좌 정보 및 사용자 자격 증명을 수집하려고 시도하는 동안 가짜 무효 계정 스트라이프 지원 경고를 미끼로 사용하는 피싱 캠페인을 발견했다. Stripe는 온라인 결제 프로세서 중 하나이며 인터넷 비즈니스는 전자 상거래 고객으로부터 인터넷을 통해 지불을 수락해야 하는 결제 물류를 제공하는 회사이다. 공격자가 Stripe 고객을 피싱 페이지로 리디렉션하도록 설계된 '세부 정보 검토' 버튼에서 실제 목적지을 숨기는 것을 발견했으며, 이는 효과적인 HTML 기반의 트릭이다. 피싱 전자 메일에 포함된 버튼은 완벽하게 작동하며 공격자의 트릭에 빠진 대상을 사용자 자격 증명, 은행 계좌 번호 및 전화번호를 수집하도록 설계된 복제 된 Stripe 고객 로그인 페이지로 전송한다. 마지막 페이지에는 "Wrong Password, Enter Again" 메시지가 표시되며, 공격자들은 잠재적으로 계정을 차단하거나 수집된 자격 증명을 변경하지 않기 위해 피해자들을 Stripe의 합법적인 로그인 페이지로 리디렉션하기 위해 사용한다.

첨부파일 첨부파일이 없습니다.
태그 Kimsuky  Aironet  Graboid  Monero  Stripe