보안정보

글로벌 정보보안 리더 윈스

[2020년 10월 12일] 주요 보안 이슈

침해사고분석팀 2020.10.12

1. [기사] 이번엔 데이터 삭제 공격! 새로운 P2P 봇넷, HEH 발견돼
[https://www.boannews.com/media/view.asp?idx=91678&page=1&mkind=1&kind=1]
사물인터넷 장비들의 텔넷 서비스들을 장악하는 P2P 봇넷인 HEH가 새롭게 등장했다. 이는 중국의 보안 업체 치후360이 처음 발견하였으며, 기존 사물 인터넷 봇넷이 장비 자체에는 기능적 영향을 크게 미치지 않은 것에 비해 HEH는 장비 내 모든 데이터를 완전히 삭제하는 기능을 가지고 있다. HEH는 서버, 라우터, 그 외 사물 인터넷 장비의 SSH 포트에 대한 무차별 대입 공격을 실시하며 퍼져가고 있으며 멀웨어는 고(GO)언어로 작성되어 있다. HEH는 장비에서 실행되는 다수의 서비스를 종료시킨 후 HTTP 서비스를 올려 봇넷에 이미 연결된 피어로부터 다른 데이터를 받아와 기존 데이터들을 덮어쓰는 방식으로 공격이 진행된다.

 

2. [기사] 사이버 용병 단체 바하무트, 높은 수준과 전략성 겸비해
[https://www.boannews.com/media/view.asp?idx=91674&page=1&mkind=1&kind=1]
해킹 공격을 대신해 주는 사이버 용병 단체인 바하무트(Bahamut)가 최근 정부 기관들을 겨냥한 고급 공격을 펼치고 있다고 보안 업체 블랙베리(BlackBerry)가 경고했다. 바하무트는 다른 보안 전문가들 사이에서 에데벨(Ehdevel), 윈드쉬프트(Windshift), 유어페이지(urpage)라고 불리기도 하며, 바하무트의 피해자나 공격 기법에는 일관된 패턴이 나타나지 않는 것으로 보아, 한 명 이상의 제로데이 전문 개발자가 포함된 것으로 보인다. 바하무트의 피싱 및 크리덴셜 수집 공격은 정확한 표적 설정 후 심층적인 정찰 활동을 펼치고 나서 진행되며, 스피어피싱의 경우 수 시간에서 수개월 동안 진행되는 경우도 있었다.

 

3. [기사] 해킹그룹 탈륨, 통일부 북한인권기록센터 위장 공격
[https://www.boannews.com/media/view.asp?idx=91616&page=1&mkind=1&kind=1]
해킹 조직 '탈륨(Thallium)'으로 추정되는 단체의 스피어피싱 해킹 공격이 대북 관련 단체를 대상으로 펼쳐지고 있어 관계자들의 주의가 요구된다. 탈륨은 지난해 마이크로소프트(MS)로부터 고소를 당하며 국제 사회에 주목을 받은 해킹 조직으로, 한국에서는 대북 및 탈북 분야 민간단체를 포함해 정치, 외교, 안보 등 관계자를 주요 해킹 대상으로 사이버 첩보 활동을 전개하고 있다. 이변 공격은 통일부에서 외부 공개용으로 발행된 북한 인권백서와 특정 사무관의 소속, 이름 등을 넣어 구성하였으며 실행시킬 경우 MS Word의 매크로 명령 실행을 위한 동의가 요구된다. 콘텐츠 사용 버튼 클릭 시 숨겨진 악성 매크로 기능과 파워셸 코드가 동작하며 컴퓨터 정보를 서버에 전송하며 키로깅 기능이 실행되는 방식으로 동작한다.

 

4. [기사] 안드로이드 랜섬웨어에 대한 마이크로소프트의 경고 
[https://www.zdnet.com/article/microsoft-warns-of-android-ransomware-that-activates-when-you-press-the-home-button/]
AndroidOS/MalLocker로 명명된 랜덤웨어는 온라인 포럼 등의 웹사이트에서 내려받을 수 있는 안드로이드 앱 안에 숨겨져 있다. 대부분의 안드로이드 랜섬웨어 변종처럼, MalLocker.B는 실제로 피해자의 파일을 암호화하지 않고 휴대전화에 대한 접근을 차단한다. 랜섬웨어가 설치되면 휴대전화의 화면을 제어하고 물리적 버튼 등의 기능을 비활성화시키며 경찰을 사칭해 과태료를 납부하도록 유도한다. 모바일 악성코드 피해를 막기 위해 포럼, 웹사이트 광고, 신뢰할 수 없는 앱스토어 등 제3자로부터 내려받은 안드로이드 앱은 설치하지 않는 것이 좋다.

 

5. [기사] 윈도우 오류 보고 서비스를 이용한 파일리스 악성코드 유포
[https://www.bleepingcomputer.com/news/security/hackers-abuse-windows-error-service-in-fileless-malware-attack/]
익명의 해킹 그룹이 Windows Error Reporting(WER) 서비스에 악성코드를 주입하여 파일리스 멀웨어 공격의 탐지를 회피하였다. 탐지 회피에서 WER 서비스를 이용하는 것이 새로운 방식은 아니지만, 이 공격이 아직 알려지지 않은 사이버 스파이 단체의 소행일 가능성이 큰 것으로 추정된다. 초기 공격은 노동자의 보상청구를 미끼로 한 피싱 이메일을 통해 전송되었으며, 문서가 열리고 매크로 콘텐츠 사용 동의를 누를 경우 셸 코드가 실행되는 방식으로 동작한다. 로드된 .NET 페이로드는 윈도우 장치의 메모리에 적재되며 하드 드라이브에 흔적을 남기지 않고 WER 서비스의 Windows 프로세스인 WerFault.exe에 내장 셸 코드를 주입한다.