보안정보

글로벌 정보보안 리더 윈스
Google FormsRagnar LockerShinyHunters

[2020년 11월 6일] 주요 보안 이슈

침해사고분석팀 2020.11.06

1. [기사] 의문의 APT 단체, 미얀마 정부 기관 공격 중에 있어
[https://www.boannews.com/media/view.asp?idx=92386&page=1&kind=1]
미얀마의 정부 기관들이 APT 단체의 표적 공격을 받았다. 보안 업체 소포스(Sophos)의 기술 담당인 Gabor Szappanos는 악성 코드 내에서 발견된 'KillSomeOne'과 같은 메시지는 아마추어 해커들이 흔히 하는 행동이지만, 표적 공격을 자유자재로 구사하는 것으로 보아 해킹 실력이 최상위급에 속하는 APT 단체로 여겨진다고 말했다. 해당 공격에는 DLL 사이드로딩(DLL side-loading) 기법을 주로 활용하는데, 이는 2013년 중국의 해커들 사이에서 유행했던 공격 기술이다. 따라서 이 APT 단체는 중국 출신일 확률이 높아 보인다고 전했다.

 

2. [기사] 악명 높은 해커 샤이니헌터즈, 4억 명의 개인정보 무료로 공개
[https://www.boannews.com/media/view.asp?idx=92390&page=1&kind=1]
다크 웹에서 활동하는 해킹 단체가 또 어마어마한 규모의 데이터를 유출했다. 샤이니헌터즈(ShinyHunters)라는 이름의 조직이 약 4억 명의 개인정보가 담긴 데이터를 무료로 공개했다. 샤이나헌터즈들이 공개한 데이터 중 SocialShare(600만 명), GGuMin(200만 명)는 한국 서비스에서 확보한 것이다. 유출된 데이터들에는 사용자의 이메일 주소와 비밀번호가 포함돼 있었으므로, 이 서비스 중 하나에 가입되어 있다면 HaveIBeenPawned(https://haveibeenpwned.com/) 사이트에 들어가 침해 사실을 확인할 수 있다.

 

3. [기사] Capcom을 공격한 Ragnar Locker 랜섬웨어, 1TB 도난 혐의
[https://www.bleepingcomputer.com/news/security/capcom-hit-by-ragnar-locker-ransomware-1tb-allegedly-stolen/]
일본 게임 개발 업체 Capcom은 사이버 공격의 세부 사항을 공개하지 않았지만, 보안 연구원 Pancak3가 발견한 랜섬웨어 샘플에서 Ragnar Locker 랜섬웨어 갱이 공격한 것을 확인했다. Ragnar Locker 샘플을 실행한 후, Capcom의 컴퓨터에서 생성된 랜섬 노트를 볼 수 있었고 해당 노트에는 Capcom이 공격자와 몸값 요구를 논의할 수 있는 협상 사이트에 대한 링크가 포함되어 있었다. 또한, Ragnar Locker는 Capcom의 네트워크에 있는 2,000대의 장치를 암호화했다고 주장하며 암호 해독기로 1,100만 달러의 비트코인을 요구했다.

 

4. [기사] 100 개의 중고 USB에서 70,000 개 이상의 개인 파일들이 발견됐다.
[https://www.infosecurity-magazine.com/news/over-70000-personal-files-on-100/]
Abertay University의 연구원들은 온라인으로 구매한 중고 USB 스틱에서 수만 개의 개인 파일을 발견했다. 삭제되지 않은 데이터 중에는 세금 신고서, 계약서, 은행 명세서 및 비밀번호에 대한 민감 정보가 있었으며, 비양심적인 구매자를 통해 오용될 가능성이 크다고 말했다. 또한, 드라이브에서 찾은 이메일 주소를 통해 판매자에게 협박도 가능하다. 따라서 온라인에서 장치를 판매하려는 USB 소유자는 먼저 소프트웨어를 사용하여 장치에 저장된 정보를 삭제하거나 망치로 장치를 파괴해야 한다고 연구원들은 조언했다.

 

5. [기사] AT&T 자격증명을 피싱하는데 악용되는 구글 폼
[https://threatpost.com/google-forms-abused-to-phish-att-credentials/160957/]
200개 이상의 구글 폼이 Microsoft OneDrive, Office 365 등 유명 브랜드를 사칭해 피해자의 자격 증명을 훔친다. 지금까지 이 공격에서 사용된 265개의 다른 구글 폼이 밝혀졌는데, 이는 이메일을 통해 피해자들에게 보내질 가능성이 크다. 이 중 70% 이상이 AT&T에서 온 것으로 추정됐다. 대부분의 피싱 구글 폼은 회사의 브랜드를 활용하고 사용자에게 로그인한 후, 제출하도록 안내한다. 이때, 로그인 양식이 설문조사 형식으로 사용자에게 입력받는다. 따라서 사용자들은 로그인 양식이 다른 구글 폼의 경우, 자격 증명에 유의해야 한다.
목록