보안정보

글로벌 정보보안 리더 윈스

[2019년 4월 9일] 주요 보안 이슈

침해사고분석팀 2019.04.09

1. [기사] 페이스북, 자사 플랫폼에 있던 사이버 범죄 그룹 70여 개 폐쇄
[https://www.boannews.com/media/view.asp?idx=78505&page=1&kind=1]
시스코 탈로스(Cisco Talos) 팀이 지난 8개월 동안 페이스북의 사이버 범죄 그룹들을 추적, 악성 그룹 70여 개를 페이스북 플랫폼에서 삭제했다고 밝혔다. 이들은 이메일 스팸용 툴, 훔친 크리덴셜 및 카드 정보 등 다크 웹 수준의 불법적인 물품과 서비스를 버젓이 판매하고 있었다. 탈로스 팀에 따르면 페이스북에서 ‘스팸’이나 ‘CVV’와 같은 키워드를 검색하기만 해도 이런 불법 판매 그룹들을 찾을 수 있고, 페이스북의 자동화 알고리즘이 타 범죄 그룹들을 추천해주기도 한다. 페이스북은 "해당 현상을 인지하고 있다"며 악성 그룹 운영자들을 추적해 그룹 생성을 금지하고, 관련 페이지와 그룹들을 전부 삭제하는 방식으로 대응하고 있다고 밝혔다. 하지만 지워지기가 무섭게 새로운 그룹이 만들어지는 실정이라며, 이러한 일을 발견했을 때 바로바로 신고해 줄 것을 페이스북 사용자들에게 당부했다.

 

2. [기사] Hackers Can Target CT, MRI Scanners & Manipulate Scan Results
[https://hackercombat.com/hackers-can-target-ct-mri-scanners-manipulate-scan-results/]
이스라엘의 한 대학 연구진들이 3D 의료 스캐너를 해킹하여 CT 스캔 이미지를 조작할 수 있다는 연구 결과를 발표했다. 연구원들은 대다수의 병원에서 의료 영상 저장 전송 시스템(PACS)를 인터넷에 노출한 채 사용하고 있었으며, 이들 서버가 CT 스캔 이미지들을 암호화하지 않은 채 전송하고 있었다고 지적했다. 이들은 또한 해당 사실을 활용한 중간자 공격을 통해 CT 스캐너로부터 나오는 트래픽을 가로채고, CT-GAN이라고 이름 붙은 공격 프레임워크를 사용하여 의료 스캔 이미지를 마음대로 조작할 수 있었다고 설명했다. 이렇게 조작된 이미지는 방사성 전문의들도 알아차리지 못한 것으로 알려졌다. 연구원들은 기술적인 세부 사항이 담긴 보고서(https://arxiv.org/pdf/1901.03597.pdf)를 공개하며 PACS 시스템을 사용하는 병원들의 보안 조치 강화를 촉구했다.

 

3. [기사] Security researchers discover iOS version of Exodus Android spyware
[https://www.zdnet.com/article/security-researchers-discover-ios-version-of-exodus-android-spyware/]
올해 초 구글 플레이 스토어에서 유행하던 안드로이드 스파이웨어 엑소더스(EXODUS)의 iOS 버전이 발견되었다. 엑소더스는 지난달 '국경 없는 보안(Security Without Borders)'이라는 단체가 발견한 스파이웨어로 이탈리아 정부가 감시 목적으로 사용했다고 알려졌다. 보안업체 룩 아웃(Lookout)은 엑소더스 샘플들을 분석하다가 변종을 발견했다고 밝혔다. 이번 변종은 이탈리아와 터키의 이동통신사 사이트를 가장한 피싱 사이트를 통해 다운로드되며, 애플에서 발행한 기업 인증서로 서명되어 있어 앱 스토어를 거치지 않고도 설치가 가능했던 것으로 알려졌다. 애플은 해당 사실을 인지하고 관련 인증서들을 모두 폐기한 상태이다. 룩 아웃의 연구원은 엑소더스 변종의 기능이 안드로이드 버전에 비해 단순해 아직 개발 중인 프로젝트로 보인다고 밝혔다. 이번 변종은 연락처, 사진, 비디오, 오디오 녹음, GPS 정보 및 장치 위치만 수집하고 도용할 수 있는 것으로 알려졌다. 또한 안드로이드 버전에서 사용된 서버와 프로토콜을 동일하게 사용하고 있다며 동일한 공격자의 소행으로 보인다고 덧붙였다.

 

4. [기사] Hackers Used US-based Web Servers to Distribute 10 Malware Families Via Weaponized Word Documents
[https://gbhackers.com/hackers-malware-families-word-documents/]
공격자들이 드리덱스(Dridex), 트릭봇(Trickbot), 갠드크랩(GandCrab) 등 멀웨어를 유포하는 대규모 피싱 캠페인에 미국의 호스팅 인프라를 이용한 것으로 나타났다. 이번 공격을 1년 가까이 추적해온 보안 업체 브로미움(Bromium)은 5개의 뱅킹 트로이목마와 2개의 랜섬웨어, 그리고 3개의 정보 탈취형 멀웨어를 발견했다고 밝혔다. 브로미움의 전문가들은 멀웨어 운영자들이 서로 협력해서 움직인다고 보고 있다. 공격자들이 동일한 서버를 재사용하여 다양한 멀웨어들을 호스팅 하는 것은 맞지만, 이메일과 멀웨어 작업용 C2 서버는 분리해서 사용하고 관리한다는 것이다. 전문가들은 또한 모든 멀웨어들이 악의적인 매크로가 포함된 영문 워드 문서를 통해 배포되고, 호기심을 자극하는 문구가 담긴 이메일을 통해 피해자들이 해당 문서를 열어보도록 유도한다며 사용자들의 주의를 요구했다.

 

5. [기사] 여전히 사이버 범죄자들에게 악용되는 IoT와 오픈소스
[https://www.boannews.com/media/view.asp?idx=78511&kind=&sub_kind=]
보안연구소인 포티가드랩이 '위협 전망 보고서'를 통해 오픈소스와 IoT를 악용한 공격이 지속되고 있다고 발표했다. 오픈소스 툴은 일반적으로 ‘GitHub’와 같은 공유 사이트에 공개되어 있으며 누구나 사용할 수 있다. 결국 사이버 범죄자들도 악의적인 활동을 위해 얼마든지 접근할 수 있는 것이다. 보고서는 공격자들이 이러한 툴들을 무기화한 대표적인 사례로 ‘Mirai IoT 봇넷’을 들었다. 보고서는 또한 상위 12개 글로벌 익스플로잇의 50%가 IoT 장치를 타깃으로 하며, 상위 12개 중 4개는 IP 카메라와 관련되어 있었다고 밝혔다. 공격자들이 이러한 장치들을 사생활을 염탐하거나 DDoS 또는 랜섬웨어 공격에 활용하기 위해 사용한다는 것이다. 또한 △익스플로잇 지수가 사상 최고 수준이고, △스테가노그라피(steganography)의 확산되고 있으며, △애드웨어 공격이 점점 더 심해지고 있는 것으로 나타났다.