보안정보

글로벌 정보보안 리더 윈스
비글보이즈디페이스김수키IPStormSilentFade

[2020년 10월 5일] 주요 보안 이슈

침해사고분석팀 2020.10.05

1. [기사] 페이스북 광고 플랫폼을 겨냥한 SilentFade 악성코드
[https://securityaffairs.co/wordpress/109037/cyber-crime/silentfade-facebook-malware.html]
페이스북은 SilentFade 악성코드의 장기적인 광고 사기 캠페인에 대한 자세한 내용을 공유하였다. 중국에서 만들어진 이 악성코드는 페이스북 인증 정보와 브라우저 쿠키 정보를 훔쳐 해커들이 사용자의 광고 계정에서 4백만 달러를 빼돌리는 데 사용되었으며, 페이스북은 2018년 12월 의심스러운 트래픽이 급증하는 것을 보고 이를 발견하였다. 크로미움과 파이어폭스 기반의 브라우저는 SQLite DB에 자격 증명과 쿠키를 저장하는데, 감염된 엔드포인트에서 실행되는 악성 프로그램이 해당 저장소에 액세스하여 정보를 탈취한다. 해당 악성코드 외에도 StressPaint, FacebookRobot, Scranos등의 악성코드가 현재까지 발견되고 있다.


2. [기사] 안드로이드, 리눅스, 맥 장비에 영향을 끼치도록 진화한 IPStorm 봇넷
[https://securityaffairs.co/wordpress/109024/malware/ipstorm-botnet-evolves.html]
Intezer의 연구원들은 IPStrom 봇넷이 안드로이드, 리눅스, 맥 장치를 포함한 다른 운영체제를 감염시키기 위해 진화했다고 보고했다. IPStorm 봇넷은 19년 5월에 처음 발견되어 전 세계 시스템을 지속적으로 감염시키고 있다. 이는 IPFS(InterPlanetary File System)에서 나온 약칭으로 봇이 악의적인 트래픽을 모호하게 하기 위해 사용되는 프로토콜이다. Go 언어로 작성된 봇은 처음에는 윈도우 시스템만을 공격하도록 제작되었지만, 최근에는 리눅스나 맥 장치들의 SSH 서비스에 대한 사전 공격을 수행하며, 작업을 방해할 수 있는 프로세스를 종료시킨다. 해당 봇을 이용한 DDoS공격이나 악성 트래픽의 중계 사례는 아직 발견되지 않았다.


3. [기사] 북 APT 단체, UN 안보리 관계자 수십 명 겨냥
[https://securityaffairs.co/wordpress/108979/apt/north-korea-hit-un-security-council.html]
북한과 연계된 공격 단체가 UN 안전보장 이사회 관계자 수십 명을 상대로 APT 공격을 수행했다. 이 캠페인은 8월 말에 발간된 UN 보고서에서 공개되었으며 김수키 그룹과 관련된 것으로 추정된다. 이 캠페인은 3~4월 사이에 진행되었는데, 공격자들은 스피어 피싱 공격을 이용하여 UN 관계자들의 Gmail 계정을 탈취하려고 시도했다. 메시지는 UN 보안경보나 언론인 인터뷰 요청 양식으로 전송되었는데, 이는 What's App을 통해 공격이 시작된 것으로 추정된다.


4. [기사] 홈페이지 위변조 ‘디페이스 해킹’ 2020년 들어 다시 늘었다
[https://www.boannews.com/media/view.asp?idx=91565&page=1&mkind=1&kind=]
한국인터넷진흥원(KISA)가 발행한 '최근 5년간 국내 홈페이지 변조 해킹 자료'에 따르면 지난 5년간 총 홈페이지 변조 건수는 4,641건에 달하며, 2018년 567건이던 변조 건수가 2019년 639건에서 2020년 8월까지 655건 발생하는 등 지난해 수준을 넘어선 것으로 드러났다. 이에 따라 KISA는 기존 일 12회 모니터링 횟수를 일 24회로 늘리는 등 탐지를 강화하고 있고, 과학기술정보방송통신위원회의 김상희 부의장은 "로그인 페이지 등의 해킹을 통한 비번 등 민감 개인정보 유출의 우려가 크다"며 단속 강화의 필요성을 지적했다.


5. [기사] 北 정찰총국 해킹그룹 ‘비글보이즈’…금융권 사이버공격 주범으로 지목
[https://www.dailysecu.com/news/articleView.html?idxno=114454]
KISA 최신동향 자료에 따르면, 북한 정찰총국 소속 해킹그룹 '비글보이즈(BeagleBoyz)'는 2015년부터 30여 개국의 금융기관을 해킹해 20억 불을 탈취 시도했다. 비글보이즈는 다양한 도구, 기술을 사용해 금융기관 네트워크의 접근 권한을 획득하고, 네트워크 구성도를 익히면서 금전을 탈취한다. 특히 스피어 피싱, 워터링 홀 등의 기술을 활용해 최초 침투를 시도한 후 피해 컴퓨터 시스템의 취약점을 선별적으로 공격하며, 원격 접속 악성코드를 이용해 금융기관 네트워크에 대한 원격 접속 및 통제 권한을 확보한다. 이에 미국 정부는 모든 금융기관을 대상으로 사이버보안, 지불시스템 관련 내용 준수 및 주요 시스템에 대한 산업 보안 표준 준수를 권고했다.
목록