보안정보

글로벌 정보보안 리더 윈스

[2019년 4월 15일] 주요 보안 이슈

침해사고분석팀 2019.04.15

1. [기사] Hackers Compromise Microsoft Support Agent to Access Outlook Email Accounts
[https://thehackernews.com/2019/04/microsoft-outlook-email-hack.html]
올해 초 마이크로소프트의 고객 지원 포털을 통해 Outlook 서비스에 등록된 일부 이메일 계정들이 유출된 것으로 밝혀졌다. 마이크로소프트가 "2019년 1월 1일에서 3월 28일 사이에 고객의 정보가 유출되었을지도 모른다"는 내용의 이메일을 정보가 유출된 것으로 보이는 고객들에게 발송한 것이다. 그러나 정확한 사고 규모에 대해서는 밝히지 않았다. 공격자들은 마이크로소프트의 고객 지원 에이전트 중 하나의 자격 증명을 손상시켜 침입한 것으로 알려졌다. 마이크로소프트는 "고객 지원 담당자가 볼 수 있는 정보는 사용자의 이메일 주소, 폴더 이름, 이메일의 제목과 사용자가 주고받은 이메일들의 계정 주소뿐"이라며 이메일의 내용과 첨부파일은 안전하다고 밝혔다. 또한 이번 유출이 사용자들의 이메일 로그인 자격 증명에 직접적으로 영향을 미치지는 않지만, 혹시 모를 사고에 대비하여 계정 비밀번호를 변경할 것을 강력히 권고했다. 

 

2. [기사] Popular Video Editing Software Website Hacked to Spread Banking Trojan
[https://thehackernews.com/2019/04/free-video-editing-malware.html]
러시아의 보안 전문 기업 닥터웹(Dr. Web)이 무료 동영상 편집 및 변환 프로그램으로 유명한 VSDC software의 공식 웹사이트가 또다시 해킹되었다고 발표했다. 공격자들이 VSDC 웹사이트를 해킹해 소프트웨어 다운로드 링크를 Win32.Bolik.2 뱅킹 트로이목마 또는 KPOT 스틸러(KPOT Stealer)를 설치하는 링크로 바꿔치기한 것이다. 닥터웹은 "방문자의 위치를 확인해 영국, 미국, 캐나다, 호주에서 접속한 경우에만 다운로드 링크를 교체하는 자바스크립트 코드를 발견했다"며 모든 사용자를 대상으로 하던 작년의 공격과는 차이가 있다고 설명했다. 또한 악의적인 코드가 2019년 2월 21일부터 3월 23일까지 약 한 달간 웹사이트에 올라가 있었으며, 이 기간 동안 적어도 600명이 넘는 사용자가 교체된 링크를 이용해 프로그램을 다운로드한 것으로 확인되었다. VSDC는 해당 기간 동안 사이트를 이용한 적이 있다면 백신 프로그램을 다운로드해 피해 여부를 확인하고 은행 등 중요한 사이트들의 비밀번호를 변경해달라고 당부했다.

 

3. [기사] 미국, 북한 정부 지원받는 해킹 단체의 새로운 무기 공개
[https://www.boannews.com/media/view.asp?idx=78652&page=1&mkind=1&kind=1]
라자루스(Lazarus), 블루노로프(BlueNoroff) 또는 히든 코브라(Hidden Cobra)로 알려진 북한의 해커들이 새로운 해킹 툴을 공격에 활용하고 있다고 미국 국토안보부와 FBI가 공개했다. 새로운 해킹 툴은 홉라이트(HOPLIGHT)라는 일종의 트로이목마로 9개의 파일로 구성되어 있다. 이중 7개는 프록시 애플리케이션으로 멀웨어와 C&C 서버 사이의 트래픽을 숨기는 기능을 한다. 전문가들은 프록시가 정상 SSL 인증서들을 사용해 가짜 TLS 핸드 셰이크 세션들을 생성함으로써 네트워크 연결을 감춘다고 설명했다. 홉라이트 트로이목마는 파일을 읽고 쓸 수 있으며, 시스템 드라이브 정보를 모아서 목록을 만들고, 시스템 내에서 프로세스를 생성하고 종료시키는 것은 물론 실행되고 있는 프로세스에 코드를 주입할 수도 있는 것으로 알려졌다. 또한 레지스트리 설정 내용도 조작할 수 있고, 원격 호스트와 연결해 파일을 업로드하고 다운로드할 수도 있으며, 서비스들을 만들고 실행하고 중단시키는 것도 가능하다. 더 자세한 내용은 국토안보부와 FBI가 발표한 멀웨어 분석 보고서(Malware Analysis Report)에서 확인할 수 있다. 

 

4. [기사] A security researcher with a grudge is dropping Web 0days on innocent users
[https://arstechnica.com/information-technology/2019/04/a-security-researcher-with-a-grudge-is-dropping-web-0days-on-innocent-users/?fbclid=IwAR1y1mbiS2cTMoXSmWP-8wCdwQ0z-8lbsNAtFLZYAWLb9U8OL74GQvZI1sc]
워드프레스 플러그인의 치명적인 제로데이 취약점들로 인해 16만개에 달하는 웹사이트들이 지난 3주간 공격에 노출되어 있었던 것으로 밝혀졌다. 공격자들이 취약점들을 악용해 방문자들을 악의적인 사이트로 리다이렉트(Redirect)시킨 것이다. 전문가들은 "플러그인 개발자들의 패치가 늦어진 점과 패치가 완료되기 전에 취약점에 대한 상세한 분석을 내놓은 자칭 보안전문 기업 Plugin Vulnerabilities 때문"에 이러한 사태가 벌어진 것으로 보고 있다. 지난 3월 21일 Plugin Vulnerabilities 측에서 Yuzo Related Posts와 Yellow Pencil Visual Theme Customizer, Social Warfare 워드프레스 플러그인의 취약점에 대해 상세한 익스플로잇을 내놓았고, 그 즉시 공격이 시작되었기 때문이다. 익스플로잇 공개 후 얼마 지나지 않아 공격을 인지한 워드프레스는 해당 플러그인들은 저장소에서 삭제하고 관련 사실들을 플러그인 개발자들에게 알린 것으로 밝혀졌다. 한편, Plugin Vulnerabilities는 "자사의 서비스는 취약점을 찾고 고객들에게 미리 알리는 것이며, 이번 사건의 경우에는 취약점이 처음 발견되고 11일이 지난 후에 익스플로잇 공개했기 때문"에 지난 3주간의 공격과 자신들은 무관하다는 입장을 밝혔다.

 

5. [기사] 페이스북·인스타그램·왓츠앱 또 접속 장애, 자꾸 왜 그러나
[https://www.boannews.com/media/view.asp?idx=78672]
세계 최대 소셜 네트워크 서비스인 페이스북과 인스타그램, 왓츠앱 등의 페이스북 패밀리 앱에서 또다시 접속 장애가 발생한 것으로 드러났다. 14일 새벽부터 전 세계 대부분 지역에서 페이스북·인스타그램·왓츠앱 서비스의 접속이 안 되거나 불안정했던 것이다. 운영이 중단되는 웹사이트나 서비스 등을 모니터링하는 사이트인 ‘다운디텍터닷컴(Downdetector.com)’은 미국 동부 표준시 기준 14일 오전 6시 30분께부터 전 세계 대부분 지역에서 페이스북 접속 장애가 발생했고, 주로 유럽과 아시아에서 서비스 장애가 심했던 것으로 나타났다고 밝혔다. 페이스북 패밀리 앱의 접속 장애 사태는 올해 들어서만 벌써 두 번째이다. 게다가 지난 3월에는 사용자 비밀번호를 회사 서버에 평문으로 보관했던 사실이, 불과 며칠 전에는 사용자 데이터 5억 4천만 건이 인터넷에 노출되었다는 사실이 밝혀지기도 했다. 전문가들은 잇따른 접속 장애와 개인 정보 관련 사건사고에 대해 우려를 표명하며 페이스북이 이번 사건에 대해서는 어떤 입장을 내놓을지 주목하고 있다.