보안정보

글로벌 정보보안 리더 윈스

[2019년 4월 12일] 주요 보안 이슈

침해사고분석팀 2019.04.12

1. [기사] MS 오피스 365로 보낸 피싱 이메일, 25%가 통과한다
[https://www.boannews.com/media/view.asp?idx=78622]

클라우드 보안 업체인 아바난(Avanan)이 피싱 공격에 대한 보고서를 발표했다. 99개 이메일 중 1개는 피싱 공격이며, 이 피싱 공격의 25%가 MS 오피스 365에 기본 탑재된 보안 장치들을 피해갈 수 있다는 내용이 담겨 있다. 아바난의 연구원들은 561,947건의 피싱 공격을 크게 다음 네 가지 유형으로 나눴다. 1) 멀웨어 공격(50.7%) 2) 크리덴셜 탈취(40.9%) 3) 협박 이메일(8%) 4) 스피어피싱 시도(0.4%). 오피스 365의 경우 EOP라는 보안 시스템을 사용한다. 아바난의 연구원들이 조사한 건에 따르면 546,427(1.04%)건이 피싱 이메일이었고, 그 중 25%가 EOP 시스템을 정상 메일로 통과했다고 한다. 이는 악성 파일이 첨부된 피싱 메일을 정상 파일로 위장했으며, 공격자들이 가장 많이 사용하는 브랜드가 MS이기 때문에 주의를 기울여야 한다는 의미로 보인다. 또한 난독화 기술을 추가한 피싱 메일 공격의 비중은 많지 않으며, 연휴 기간 가장 많이 악용되는 브랜드는 아마존이라고 한다.


2. [기사] 필요한 정보 빼가고 사라지는 새 멀웨어 발더 등장
[https://www.boannews.com/media/view.asp?idx=78619]

새로운 멀웨어가 등장했다. 이름은 발더(Baldr)로, 보안 업체 멀웨어 바이츠(Malwarebytes)에 의하면 지난 1월에 처음 발견됐고, 제작자들이 개발 과정에 많은 시간과 자원을 투자한 것으로 보인다고 한다. 발더는 정보 탈취형 멀웨어이며, 몇 개월 사이에 엄청나게 그 수가 늘어나기도 했다. 또한 뱅킹 트로이목마와 달리 정보 탈취형 멀웨어들은 시스템에 오래 머무르지 않는다. 이번에 발견된 발더의 기능은 다섯 가지 단계로 진행된다. 먼저, 사용자 프로파일 데이터를 수집한 후 주요 위치의 파일과 폴더를 목록화한다. 그리고 샷건(ShotGun)이라고 불리는 파일 탈취 공격을 한다. 마지막으로 사용자의 스크린샷을 저장하고 저장된 패키지를 유출한다. 보안 전문가는 발더에 새로운 기능은 추가되지 않았지만 각 공격 단계를 보다 정교하게 다듬었다고 밝혔다. 이에 러시아 해킹 포럼에서 인기가 있으며, 여러 가지 방법으로 배포되고 있다. 전문가는 발더 멀웨어가 장기적으로 문제가 될 것이라고 언급했다.

 

3. [기사] WikiLeaks Founder Julian Assange arrested and charged in US with computer hacking conspiracy
[https://securityaffairs.co/wordpress/83671/hacktivism/julian-assange-arrested.html]
위키리크스(WikiLeaks)의 창립자인 줄리안 어산지(Julian Assange)가 런던 주재 에콰도르 대사관에서의 7년 가까운 도피 생활 끝에 영국 경찰에 체포됐다. 어산지는 2012년부터 에콰도르 대사관 건물에서 기거했다. 스웨덴에서 성폭행을 저질렀다는 혐의를 받고 도망치다가 에콰도르 정부의 도움으로 일종의 망명 생활을 한 것이다. 위키리크스 측은 "어산지의 정치적 망명을 갑자기 철회한 건 국제법 위반"이라며 에콰도르 정부를 비난했다. 미국 사법부는 줄리언 어산지가 런던에서 체포되었다는 소식을 발표하며 "그는 2010년 군사 및 외교 문건을 대량으로 유출시키는 데에 큰 역할을 담당했다는 혐의를 받고 있다"는 점을 다시 한 번 강조했다. 어산지는 2010년 3월 전 미군 첩보 분석가인 첼시 매닝(Chelsea Manning)과 함께 공모하여 이라크 전쟁 당시 미군이 저지른 범법 행위들과 미국의 외교적 비밀들을 공개한 바 있다.

 

4. [기사] AeroGrow Suffered Data Breach Following Malware Attack
[https://latesthackingnews.com/2019/04/10/aerogrow-suffered-data-breach-following-malware-attack/]
AeroGrow가 악성코드 공격으로 인해 주요 고객의 개인 및 금융 정보를 유출했다. AeroGrow는 2019년 3월 4일에 결제 시스템에 대한 무단 액세스를 확인했다고 한다. 전문가는 악성코드가 약 4개월 동안 시스템에서 실행되고 있었으며, 2018년 10월 29일에서 2019년 3월 4일 사이에 웹 사이트에서 게시되었을 것이라고 말했다. 현재 AeroGrow는 이 사건의 영향을 받은 정확한 고객 수를 공개하지 않고 있다. 또한 카드 번호, CVV/CCV 및 만료 날짜와 같은 지불 카드의 세부 정보가 유출됐으며, 그 외에 다른 세부 정보는 유출되지 않았다고 밝혔다. 보안 조사 후 해당 악성코드를 제거했으며, 보안 프로토콜 검토를 위해 적절한 보안 조치를 취했다고 한다.

 

5. [기사] iOS Version of Exodus Android Spyware Doing the Rounds
[https://hackercombat.com/ios-version-of-exodus-android-spyware-doing-the-rounds/]
보안 연구원은 올해 초 공식 Google Play 스토어에서 발견된 iOS 스파이웨어 변형을 발견했다. Exodus라는 이름의 스파이웨어고, Connexxa(이탈리아 감시 도구 제공 업체)가 개발했다. Exodus 변형은 2019년 3월에 발견됐으며, 이 악성코드는 이탈리아 ISP의 고객을 대상으로 배포됐다. 또한 연구원은 지난 2년간 Play 스토어에 업로드된 약 25개의 다른 Exodus 스파이웨어 응용 프로그램을 발견했다고 한다. iOS 버전은 이탈리아와 투르크 메니스탄 모바일 캐리어를 모방 한 피싱 사이트를 통해 다운로드할 수 있다. 감염된 iOS 응용 프로그램은 정상적인 인증서가 등록돼 피해자의 App Store 외부에서도 악성 응용 프로그램을 설치할 수 있다. 결국 애플은 해당 인증서들을 폐기했다. 다행인 점은 iOS 버전이 안드로이드 버전보다 덜 정교하며 아직 공식 애플 앱 스토어를 통해 배포되지 않았다는 점이다.