1. [기사] 이번엔 미국 대선 예측? 탈륨, 한글 문서 통한 APT 공격 시도
[https://www.boannews.com/media/view.asp?idx=92333&page=2&kind=1]
이스트시큐리티 시큐리티대응센터(ESRC)에 따르면 북한과 연계한 것으로 보이는 해킹조직 '탈륨'이 대선 예측 언론사 문건으로 위장한 악성 HWP 문서 파일을 통해 APT 공격을 시도하고 있다. 해당 파일은 '미국 대선 예측-미주중앙일보.hwp'라는 파일명으로 11월 1일 제작됐으며, 본문 역시 '대선 이후 미국의 대북 정책 전망과 역할'이라는 실제 보고서 내용 등으로 구성돼 있어 파일에 대한 신뢰도를 높였다. 파일을 실행할 경우 객체 연결 삽입(OLE) 기능을 통해 C&C 서버에서 추가적인 명령을 받아 각종 정보를 주기적으로 유출한다.
2. [기사] APT 단체들, 옛 기법과 신기술 혼합해 방어선 흐트러트려
[https://www.boannews.com/media/view.asp?idx=92338&page=1&kind=1]
보안 업체 카스퍼스키(Kaspersky)는 3사분기 동안 APT 단체들이 보여준 행동 패턴들을 분석하였다. 3사분기에는 플랫폼을 노린 공격이 증가했고, 감염 방식이 새로워졌으며, 정상적인 도구와 서비스를 공격에 활용하는 경우가 특히 늘어났다고 한다. 이런 APT 단체 간 유행을 가장 잘 보여주는 두 그룹은 데스스토커(DeathStalker)와 모자익리그레서(MosaicRegressor)라고 한다. 데스스토커는 피싱 이메일을 통해 피해자들을 공략하는 편인데, 최근에는 멀웨어를 C&C 서버와 직접 연결하는 등 기술적인 변화가 나타났다. 모자익리그레서의 경우, 펌웨어 이미지를 조작하여 멀웨어를 퍼트리는 고급 기법을 구사한다.
3. [기사] 일본 게임 개발 업체 Capcom, 사이버 공격으로 영향을 받았다.
[https://www.bleepingcomputer.com/news/security/japanese-game-dev-capcom-hit-by-cyberattack-business-impacted/]
일본 게임 개발 업체 Capcom은 주말 동안 이메일 시스템을 포함한 비즈니스 운영에 영향을 미치는 사이버 공격을 당했다고 밝혔다. Capcom은 11월 2일 아침에 파일 및 메일 서버에 문제가 발생하기 시작했으며, 사이버 공격이라고 판단한 후 공격 확산을 방지하기 위해 회사 네트워크의 일부를 중단했다. 조사한 바에 따르면 고객 데이터는 도난당하지 않았으며, 회사 데이터의 유출 여부 밝혀지지 않았다. 소식통에 따르면 Capcom은 9월에 TrickBot 감염을 겪었으며, REvil 랜섬웨어 공격자들은 최근 인터뷰에서 '게임 회사'를 공격했으며 곧 발표할 것이라고 밝혔다. 현재 이것이 Capcom의 사이버 공격과 관련이 있는지는 알려지지 않았다.
4. [기사] Apple search bot, 프록시 구성을 통해 내부 IP 유출
[https://www.bleepingcomputer.com/news/security/apple-search-bot-leaked-internal-ips-via-proxy-configuration/]
Applebot은 사용자를 위한 콘텐츠를 찾기 위해 웹을 검색하는 Apple의 웹 크롤러이다. 지난달 보안 연구원이자 팟 캐스트 제작자인 David Coomber는 Applebot이 Apple의 내부 IP 주소를 유출하는 프록시를 사용하고 있다는 사실을 발견했다. Coomber의 팟 캐스트에 대한 업데이트 정보 요청에는 프록시 뒤에 있는 장치의 내부 IP 주소를 보여주는 이 Via 및 X-Forwarded-For 헤더가 모두 포함되어 있었다. Coomber는 Apple에 해당 문제를 전달했으며, 약 9개월 후인 2020년 9월 29일에 해결됐다.
5. [기사] REVil 랜섬웨어 회원이 KPot stealer 소스 코드 경매에 당첨됐다.
[https://securityaffairs.co/wordpress/110407/malware/revil-ransomware-kpot-stealer.html]
KPot Stealer는 웹 브라우저, 인스턴트 메신저, 이메일, VPN, RDP, FTP, 암호 화폐 및 게임 소프트웨어에서 계정 정보 및 기타 데이터를 유출하는 데 초점을 맞춘 악성 코드이다. 또한, HTTP 요청을 통해 C2 인프라와 통신하고 여러 명령을 지원하여 감염된 시스템에서 모든 종류의 정보를 훔친다. 현재 KPot Stealer의 소스 코드가 경매에 올랐으며, REvil 랜섬웨어 그룹이 단독 공개 입찰자이다. REvil이 KPot Stealer의 소스 코드를 구매한 경우, 향후 랜섬웨어 공격에 통합될 가능성이 크다.
