보안정보

글로벌 정보보안 리더 윈스

[2020년 10월 6일] 주요 보안 이슈

침해사고분석팀 2020.10.06

1. [기사] 랜섬웨어 공격으로 코로나 백신 임상실험도 늦춰졌다
[https://www.boannews.com/media/view.asp?idx=91568&page=1&mkind=1&kind=1]
코로나 백신의 임상실험을 비롯해 여러 가지 질병 연구의 뒷받침을 해주는 소프트웨어 제조사 이리서치테크놀로지(eResearchTechnology)가 랜섬웨어 공격에 당했다. 공격이 탐지된 건 2주 전으로, 지금까지 중요 데이터에 접근이 되고 있지 않다고 한다. 실험 자체가 중단된 것도 아니지만, 연구원들이 종이와 펜을 사용할 수밖에 없는 상황이라 상당히 더뎌지고 있다는 게 문제다. 이 멀웨어의 종류는 정확하게 밝혀지지 않고 있으며, 공격에 영향을 받은 기업 및 기관들의 정확한 수도 아직 밝혀지지 않고 있다.


2. [기사] 케이뱅크·카카오뱅크·한국거래소 올해 디도스 공격받았다
[http://www.ddaily.co.kr/news/article/?no=202678]
카카오뱅크와 케이뱅크 등이 올해 디도스(DDoS) 공격을 받은 것으로 알려졌다. 인터넷 은행은 물론 한국거래소까지 공격받았다. 실제 피해로 이어지진 않았으나 일정 수준 이상의 서비스 지연이 발생했다. 한편 추석 연휴에도 우리은행, 하나은행 등을 대상으로 한 디도스 공격이 발생했다. 금융당국은 준비된 절차에 따라 대응해 피해가 발생하지 않았다고 전했다. 해킹그룹의 주요 타깃인 인터넷전문은행의 경우 비대면·온라인 거래 특성상 해킹 등 금융사고 발생 시 피해 규모를 가늠하기 어려운 만큼 해커들의 공격에 더 적극적으로 대비해야 한다.


3. [기사] GitHub 저장소에서 발견된 가짜 npm 패키지
[https://hotforsecurity.bitdefender.com/blog/fake-npm-packages-found-in-github-repository-24245.html]
보안 연구원들이 사용자의 IP 주소, 위치 정보 및 장치 하드웨어 데이터를 수집하는 GitHub에 업로드된 4개의 npm 패키지 ʻelectorn`,`loadyaml`,`lodashs`,`loadyml`를 발견했다. 원래의 패키지와 비슷한 이름을 가졌으며 공격자는 typosquatting이라는 기술을 사용했다. 이는 사용자가 주의를 충분히 기울이지 않고 잘못된 문자를 입력하면 가짜 패키지를 다운로드하는 공급망 공격이다. 예를 들어, 개발자가 'electron' 패키지를 요청했지만, 실수로 'electorn'이라고 입력하는 경우이다. 개발자가 악성 패키지 중 하나를 실수로 설치하면 내부 악성 코드가 개발자 PC의 각종 정보를 수집하여 새 댓글로 게시한다. 현재 Github는 신속히 문제의 패키지들을 제거한 상태다.


4. [기사] Tenda 라우터의 제로데이 취약점 2가지를 악용하는 새로운 Ttint IoT 봇넷
[https://securityaffairs.co/wordpress/109078/malware/ttint-iot-botnet.html]
Qihoo 360의 Netlab 연구원들은 Ttint IoT 봇넷 보고서를 발표했다. 이는 Tenda 라우터의 첫 번째 제로데이 취약점(CVE-2020-10987)을 악용하기 시작한 2019년 11월에 처음으로 발견되었다. 다른 IoT DDoS 봇넷과 달리 라우터 장치용 Socket5 프록시, 라우터 방화벽 및 DNS 설정 변조, 원격 사용자 지정 시스템 명령 실행 등 12가지 원격 액세스 기능을 구현한다. 봇넷은 C2 통신용 WSS(WebSocket over TLS) 프로토콜을 사용하여 일반적인 Mirai 트래픽 탐지를 우회하고 C2 통신을 위해 안전한 암호화된 통신을 제공한다. Tenda 라우터 사용자는 장치의 펌웨어를 확인하고, 사용 가능한 업데이트가 설치되어 있는지 확인하는 것이 좋다. 또한 Netlab에서 공유한 관련 IoC를 모니터링하고 차단해야 한다.


5. [기사] 펌웨어 부트킷으로 공격받은 외교관
[https://www.infosecurity-magazine.com/news/diplomats-attacked-with-firmware/]
희귀한 형태의 악성코드를 사용하는 첨단 지속적 위협(APT) 스파이 활동이 외교관들과 NGO 회원들을 공격하는 것이 UEFI/BIOS 스캐닝 기술을 운용하는 Kaspersky의 연구원에 관찰되었다. 연구진은 악성코드와 함께 사용되는 UEFI 부트킷은 해킹팀의 Vector-EDK 부트 킷의 맞춤형 버전으로 2015년 유출된 소스 코드라고 밝혔다. 정확히 어떻게 감염이 발생했는지 확실하지 않지만, 연구진은 특별한 업데이트 유틸리티를 포함하는 부팅 가능한 USB 키로 피해자의 컴퓨터에 물리적으로 접근함으로써 감염이 가능했을 수도 있다는 것을 발견했다고 한다.