보안정보

글로벌 정보보안 리더 윈스

[2020년 2월 25일] 주요 보안 이슈

침해사고분석팀 2020.02.25

1. [기사] 불과 반년도 남지 않은 올림픽, 해커들의 각축장 될라
[https://www.boannews.com/media/view.asp?idx=86570&page=1&mkind=1&kind=1]
올해 7월 일본 도쿄에서 열릴 하계 올림픽이 각종 사이버 공격의 장이 될 것이라는 전망이 나왔다. 사이버 위협 얼라이언스(Cyber Threat Alliance, CTA)는 특히 아태 지역 내 일본의 경쟁국들이나 사이가 좋지 않은 나라들에서 집중적으로 해킹을 시도할 것이라 본다. 또한 러시아, 북한, 중국의 사이버전 부대가 행사 진행을 방해하거나 허위 정보를 퍼트리는 공격을 할 가능성이 가장 높다고 보고했다. 운동 경기라는 표면 속에서 사이버 공격이라는 도구를 활용한 국가들의 암투가 살벌하게 벌어질 것이다. 본 행사가 얼마 남지 않은 지금 올림픽을 미끼로 한 피싱 공격에 대해 알려준다거나, 각종 허위 정보에 속지 않도록 하는 방법을 알려주는 것이 지금으로서는 가장 효과적일 것이다.


2. [기사] 구글 플레이에서 발견된 하켄 멀웨어, 8가지 앱에서 발견돼
[https://www.boannews.com/media/view.asp?idx=86569&page=1&mkind=1&kind=1]
공식 구글 플레이 스토어에서 또 악성 앱들이 여럿 발견됐다. 총 여덟 개의 앱인데 전부 하켄(Haken)이라는 멀웨어 패밀리에 감염된 상태라고 한다. 여덟 개의 앱은 대부분 카메라 관련 유틸리티와 아동용 게임으로 총 5만 번 정도 다운로드가 되었다.  하켄은 보안 전문가들이 ‘클릭커(clicker)’라고 부르는 종류의 멀웨어다. 민감한 정보를 외부로 빼돌리고, 동시에 비싼 유료 서비스에 피해자를 몰래 가입시키는 기능을 가지고 있다.  멀웨어를 발견한 체크포인트 측은 이번에 발견된 악성 앱 여덟 개 모두 사용자들이 ‘수상한 방식으로 작동한다’는 글을 후기에 남겼었다며 모든 리뷰를 다 믿을 수 없다는 건 잘 알지만, 앱을 설치하기 전에 항상 사용자 평가를 검토하라고 권고했다.


3. [기사] VMWare, Horizon 어답터용 vRealize Operation에 존재하는 심각한 결함 해결
[https://blog.alyac.co.kr/2768?category=750247]
VMware가 원격 코드 실행, 인증 우회 결함 등 Horizon 어댑터용 vRealize Operation에 존재하는 심각한 취약점을 패치를 했다. 베트남 Viettel의 보안 전문가가 취약점 3개(CVE-2020-3943, CVE-2020-3944, CVE-2020-3945)를 발견했다. 이 중 가장 심각한 CVE-2020-3943은 vRealize Operations로의 네트워크 접근 권한이 있는 공격자라면 인증 없이 악용이 가능하다. 두 번째 취약점 CVE-2020-3944는 네트워크에 접근할 수 있는 인증되지 않은 공격자가 어댑터의 인증을 우회하는데 악용될 수 있다. 마지막 CVE-2020-3945는 Horizon 어댑터와 View용vRealize Operations 사이의 잘못된 페어링 구현으로 인해 발생한다. 이 결함들은 윈도우 Horizon Adapter용vRealize Operations 6.6.x, 6.7.x 버전에 존재하며, VMware는 취약점을 패치를 한 6.6.1 및 6.7.1을 공개했다.


4. [기사] 사이버 범죄 생태계의 성공 사례인 Raccoon 멀웨어
[https://securityaffairs.co/wordpress/98379/malware/raccoon-malware-evolution.html]
최근 대상 시스템의 약 60개 애플리케이션에서 민감한 데이터를 추출할 수 있는 Raccon 멀웨어가 발견됐다. 유사 멀웨어와 비교해 저렴한 Raccoon은 피해자의 신용카드 데이터, 이메일,  암호화폐 지갑 등 민감한 데이터를 빼내도록 설계되어있다. 이 악성코드는 현재 32bit, 64bit 운영 체제 모두에서 작동한다. 보안 회사 사이버 어크 (CyberArk)는 Raccoon은 대부분 익스플로잇 키트와 피싱 캠페인을 통해 제공된다고 보고했다. 또한 악성코드는 시스템 세부 정보(OS 버전 및 아키텍처, 하드웨어 정보, 설치된 앱 등)를 수집할 수 있다. 공격자는 자신의 Raccoon 인스턴스를 사용자 정의하여 스냅샷을 캡처하거나 추가적인 악성 페이로드(payload)를 제공할 수 있다. 보안 전문가들은 Raccoon이 전 세계 사용자 10만 명 이상을 감염시켰다고 추측한다. 또한 멜웨어가 지속해서 개발되고 있음을 지적했다.


5. [기사] FireEye Mandiant M-Trends 2020 보고서: 2019년 500개 이상의 새로운 맬웨어 종류
[https://securityaffairs.co/wordpress/98330/malware/malware-found-fireeye-report.html]
FireEye Mandiant M-Trends 2020 보고서에 따르면 FireEye는 2019년 하루 110만 개의 악성코드를 분석, 1268개의 악성코드를 확인했다. 가장 우려되는 수치는 이전에 볼 수 없었던 500개(41%)가 넘는 악성코드의 수치이다. 전문가들은 중국과 연계된 APT 41을 가장 주된 사이버 위협 그룹 중 하나로 지목했다. APT 41은 2012년부터 활동해 왔으며 게임, 첨단 기술, 고등 교육, 통신, 여행 산업을 포함한 여러 산업에서 기업들을 공격했다. 중국 내 다른 행위자들과 달리, 이 단체는 스파이 활동에 사용자 정의 악성코드를 사용했으며, 전문가들은 APT 41 캠페인에서 46개의 서로 다른 악성코드와 도구를 관찰했다. 이 보고서에 포함된 일부 데이터는 사이버 위협과 이를 완화하는 방법에 대한 인식을 높이고 이를 입증하고 있다.