1. [기사] 트릭봇의 또 다른 변신! 이번엔 액티브엑스 컨트롤 추가
[https://www.boannews.com/media/view.asp?idx=86749]
모피섹 랩스(Morphisec Labs)의 마이클 고얼릭이 트릭봇(TrickBot) 뱅킹 트로이목마가 또 다시 변신했다고 발표했다. 이번 버전엔 윈도우 10 액티브엑스 컨트롤을 통해 악성 매크로를 실행하는 기능이 추가됐다고 한다. 액티브엑스 컨트롤은 MsRdpClient10NotSafeForScri 클래스를 사용해 원격 제어를 한다. 참고로 액티브엑스 컨트롤 기능은 윈도우 10으로 업데이트되지 않은 시스템에선 작동하지 않는다. 트릭봇은 처음 뱅킹 멀웨어로 등장했지만 몇 번의 업그레이드를 거쳐 지금은 다목적, 모듈 기반 크라임웨어가 되어 버렸다. 따라서 트릭봇이 앞으로 어떤 방식으로 세계 조직들을 괴롭힐지 몰라 상당히 까다로운 위협으로 인식되어 있다.
2. [기사] 윈도우 업데이트로 위장하는 신종 랜섬웨어 발견...주의
[https://www.dailysecu.com/news/articleView.html?idxno=106737]
안랩(대표 권치중)이 최근 가짜 윈도우 업데이트 설치화면을 보여주는 신종 랜섬웨어 유포 사례를 발견해 사용자의 주의를 당부했다. 공격자는 먼저 ‘5926.tmp.exe’, ‘e291.tmp.exe’ 등의 이름으로 tmp파일을 사칭해 다양하게 악성파일을 유포했다. 공격자는 파일명에 ‘임시파일’ 확장자명(.tmp)을 붙였지만 실제론 악성코드 설치 실행파일(.exe)이다. 사용자가 해당 파일을 실행하면, 다운로드된 랜섬웨어가 사용자 PC의 파일을 암호화하는 동안 '업데이트를 준비하고 있으니 컴퓨터를 종료하지 말라'는 메시지가 적힌 가짜 윈도우 업데이트 설치 화면이 표시된다. 해당 랜섬웨어에 감염되면 PC 내 파일의 확장자가 '.rezm'으로 변경되며 암호화된다. 이런 랜섬웨어 감염을 방지하기 위해서는 기본적인 보안 수칙을 지키는 것이 중요하다.
3. [기사] 美 비건 국무부 부장관 서신? 北 추정 김수키의 사이버공격 ‘미끼’
[https://www.boannews.com/media/view.asp?idx=86764&page=1&mkind=1&kind=]
북한 추정 해킹그룹인 ‘김수키((Kimsuky)’ 조직의 사이버공격이 연일 계속되고 있다. 지난 2월에 이어 3월 3일에도 ‘비건 미국 국무부 부장관 서신 20200302.doc’ 파일이 첨부된 악성 메일 공격이 발견됐다. 이는 스모크 스크린으로 명명된 APT(지능형지속위협) 공격 캠페인으로, MS 워드(doc) 파일을 클릭 유도를 위한 '미끼' 악성 파일로 첨부했다. 사용자가 보안 경고창으로 나타난 [콘텐츠 사용] 버튼을 클릭하게 되면, VBA 매크로 코드가 실행되어 악의적인 웹사이트로의 접속을 시도하게 된다. 악성 문서가 실행되고, 공격자가 지정한 search.hta 코드가 작동하면 감염된 PC의 다양한 정보를 탈취하게 된다. 또한, 추가 파일 다운로드 기능과 함께 키로깅 스파이 기능도 수행한다.
4. [기사] Walgreens 모바일 앱의 버그로 고객의 메시지가 유출 됐다
[https://securityaffairs.co/wordpress/98800/data-breach/walgreens-data-leak.html]
미국의 약국 체인 Walgreens는 모바일 앱 고객들의 데이터가 유출된 사건을 발표했다. 문제의 앱은 이미 안드로이드에서 10만 건, IOS에서 5,000만 건 이상의 설치가 이루어진 앱이다. Walgreens는 사용자들에게 데이터 침해 안내 통지서를 보냈다. 모바일 앱을 사용하는 다른 고객이, 데이터베이스에 저장된 Walgreens 특정 개인의 메시지를 조회할 수 있는 것으로 나타났다고 한다. 다른 고객들이 조회한 정보에는 SSN, 금융정보 외 처방 번호 및 약명, 매장 번호, 배송지 등이 포함될 수 있는 것으로 밝혀졌다. 월그린스는 이를 해결하기 위해 모바일 앱 내의 메시지 보기 기능 비활성화 조처를 했다. 또한 향후 변경사항에 대해 적절한 추가 테스트를 하여 고객 데이터의 프라이버시에 영향을 미치지 않는지 검증할 것이라 전했다.
5. [기사] Nemty 랜섬웨어 운영자, 데이터 유출 사이트 개설해
[https://securityaffairs.co/wordpress/98865/malware/nemty-ransomware-data-leak-site.html]
Nemty 랜섬웨어 운영자가 랜섬웨어 지급을 거부하는 피해자들의 데이터를 공개하기 위해 데이터 유출 사이트를 개설했다. Nemty 랜섬웨어는 2019년 8월 위협환경에 처음 등장했다. 랜섬웨어는 암호화된 파일의 섀도 복사본을 삭제하여 복구 절차를 불가능하게 만든다. 현재 사이트에는 미국 신발회사에서 유출한 3.5GB 정도의 데이터 링크만 포함되어 있는 상태다. 다른 사이버 범죄 조직 DoppelPaymer 및 Sodinokibi 대원도 피해자가 몸값을 지불하도록 강요하는 동일한 전략을 채택했다. 한 예로 며칠 전 소디노키비 랜섬웨어 운영자가 한 회사의 금융 및 업무 자료가 담긴 문서 7만여 건과 고객 데이터 6만여 건을 온라인으로 유출하겠다고 주장하고 있다.
