Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 동향

앞 내용 보기 다음 내용 보기
보안 동향[2020년 7월 9일] 주요 보안 이슈
작성일 2020-07-09 조회 318

1. [기사] [긴급] ‘국민 건강 검진 통지’ 사칭 악성 SMS 유포 중
[https://www.boannews.com/media/view.asp?idx=89628&page=1&mkind=1&kind=1]
이스트시큐리티는 ‘국민 건강 검진 통지’ 안내 문자메시지로 속인 스미싱 공격이 유포되고 있어 주의가 요구된다고 밝혔다. 이번 공격은 악성 URL 접속을 유도하는 전형적인 공격 형태를 띠고 있다. SMS 수신자가 속아 URL을 클릭하게 되면, 해외 클라우드 저장소에 저장된 악성 앱이 다운로드 된다. 지난주부터 발견된 여러 스미싱 공격이 동일한 클라우드 서비스를 통해 같은 악성 앱 설치를 유도하는 것으로 나타났다. 이를 통해 같은 조직이 한 번에 여러 소재를 활용해 스미싱 공격을 시도하는 것으로 보인다. 악성 앱은 현재 정보 탈취 외 다른 악성 행위를 하지 않지만, 수집한 SMS 정보를 활용한 2차 공격이 발생할 수 있으므로 주의가 요구된다.


2. [기사] MS, 오피스 365 사용자 보호하기 위해 악성 도메인 무력화시켜
[https://www.boannews.com/media/view.asp?idx=89620&page=1&mkind=1&kind=1]
마이크로소프트가 코로나를 미끼로 한 사이버 공격에 사용되는 도메인을 무력화시키는 데 성공했다. 이는 지난 몇 달 동안 MS 오피스 365 사용자들을 노린 공격이 지속해서 증가한 데 따른 조치이며, 미국 사법부의 허락을 받고 진행한 일이기도 하다. 웹 애플리케이션을 이용한 공격이 막히자 공격자들은 코로나를 미끼로 사용하기 시작했다. 그것도 60개국이 넘는 곳의 오피스 365 사용자들에게 대량으로 피싱 메일이 발송됐다. 법정은 MS의 도메인 압수와 무력화를 허락해 주었고, 공격자들의 인프라는 대부분 사라지게 되었다. MS가 정확히 어느 시점에 악성 도메인을 무력화했는지, 그 수가 어느 정도나 되는지는 아직 확실치 않다.


3. [기사] 러시아의 해커들, BEC 공격의 격을 높이는 중
[https://www.boannews.com/media/view.asp?idx=89623&page=1&mkind=1&kind=1]
러시아의 사이버 범죄 단체인 코스믹 링스(Cosmic Lynx)가 BEC 공격을 진행하고 있다는 소식이다. 원래 BEC 공격자들은 속기 쉬운 자들을 골라 공격하는 편인데, 코스믹 링스는 대형 다국적 기업들만을 노린다. 보안이 철저한 다국적 기업들을 주로 노린다는 건, 코스믹 링스의 공격이 대단히 정교하다는 것이다. 실제 많은 보안 전문가들이 BEC 공격 감별법으로 ‘이메일의 문법과 철자 오류를 찾으라’고 권장한다. 하지만 코스믹 링스의 메일에는 그러한 오류가 거의 없다고 한다. 코스믹 링스가 주로 사용하는 방법은 ‘2중 사칭 작전(dual impersonation scheme)’이다. 이렇게 철저하게 조사하고, 정교하도록 고급스러운 가짜 이메일을 생성해서 공격자들이 가져가는 돈도 일반 BEC 공격과는 비교가 되지 않을 정도로 많다고 한다. 이에 보안업체 애거리(Agari)는 고급 해킹 기술력을 가진 자들이 마음먹고 BEC 공격을 할 때 얼마나 무서울 수 있는지가 이번 사건을 통해 드러났다고 경고했다.


4. [기사] Microsoft의 새로운 KDP 기술은 Windows 커널의 일부를 읽기 전용으로 만들어 맬웨어를 차단한다
[https://www.zdnet.com/article/microsofts-new-kdp-tech-blocks-malware-by-making-parts-of-the-windows-kernel-read-only/]
Microsoft는 곧 Windows 10에 포함될 새로운 보안 기능에 대한 첫 번째 기술 세부 정보를 발표했다. MS는 KDP(Kernel Data Protection)라는 이름의 기능이 악성 프로그램이나 악의적인 위협 행위자들이 운영 체제의 메모리를 수정(손상)하는 것을 차단할 것이라고 밝혔다. MS에 따르면 KDP는 Windows 커널의 일부를 읽기 전용 섹션으로 지정할 수 있는 프로그래밍 방식 API에 대한 엑세스를 제공하는 방식으로 작동되며, VBS '가상 보안 모드'를 지원하는 모든 컴퓨터에서 지원된다고 한다.


5. [기사] ThiefQuest Info-Stealing Mac Wiper는 무료 암호 해독기 제공
[https://www.bleepingcomputer.com/news/security/thiefquest-info-stealing-mac-wiper-gets-free-decryptor/]
사이버보안업체 SentinelOne의 악성코드 분석가들은 ThiefQuest가 RC2 알고리즘에 기반한 사용자 정의 대칭 암호화 루틴을 사용하는 것을 발견했다. 연구원들은 암호화된 파일을 원본과 비교하면서 전자가 암호화/복호화 키와 이를 암호화하는 키가 포함된 추가 데이터 블록이 있다는 것을 발견했다. 공격자가 암호 해독 작업을 담당하는 함수를 제거하지 않았기 때문에 암호화 프로세스를 복구하는 것은 큰 노력이 필요하지 않았다고 한다. 결과적으로, 결국 이 함수를 호출하면 결국 데이터의 잠금이 해제된다. 이러한 발견으로 SentinelOne은 TraidQuest 랜섬웨어에 의해 잠긴 파일에 대한 암호 해독 도구를 개발할 수 있었고, 현재 GNU GPL v2 무료 소프트웨어 라이센스에 따라 암호 해독기를 무료로 제공하고 있다.

첨부파일 첨부파일이 없습니다.
태그 Cosmic Lynx  KDP  ThiefQuest