1. [기사] CIA 멀웨어는 멀웨어 파일을 클린파일로 전환 가능
http://www.bleepingcomputer.com/news/security/cia-malware-can-switch-clean-files-with-malware-when-you-download-them-via-smb/
지난주에 WikiLeaks가 CIA 사이버 위젯에 대한 문서를 발표했다. Codenamed Pandemic은 사용자가 SMB를 통해 파일을 다운로드하는 위치에서 공유 폴더가 있는 컴퓨터를 대상으로 하는 도구이다. 이 드라이버의 기능은 SMB 트래픽을 수신하고 다른 사용자가 감염된 컴퓨터에서 공유 파일을 다운로드하려는 시도를 탐지하는 것이다. Pandemic은 감염된 컴퓨터를 대신하여 이 SMB 요청 및 응답을 차단한다. 합법적인 파일 대신 Pandemic이 맬웨어에 감염된 파일을 대신 제공한다. Pandemic은 한번에 최대 20개의 합법적인 파일을 교체할 수 있으며 파일당 최대 크기는 800MB이다. 또한, 설치할 때 15 초 밖에 걸리지 않는다. Pandemic이 네트워크에 침투하면 원래의 감염원을 찾아 내고 "patient zero" 호스트를 치료하는 것은 매우 어렵다.
2. [기사]스탠포트 대학, 악성 코드로 인해 약 4달간 피싱, 스팸의 호스팅 역할
https://www.bleepingcomputer.com/news/security/stanford-university-site-hosted-malware-for-months/
거의 4개월 동안, 스크립트 키디는 스탠포드의 하위 도메인 중 하나에서 맹공을 굴리며 웹 쉘, 메일러 및 기타 유형의 웹 악성 코드를 설치했다. 영향을받은 웹 사이트는 스탠포드 대학의 고령화 생물학을위한 폴 글렌 센터에 속한다. 공격자는 2017년 1월 31일에 사이트를 손상시킨 것으로 나타났다. 처음에 사이트를 침범한 해커는 단순한 웹 셸을 업로드했다. 웹 사이트가 손상되면 다른 해커들이 같은 서버에 몰려 들었다. 이후에 복잡한 웹 쉘을 업로드한 다음 포트폴리오를 변경하기 시작했다. 이 외에도 많은 메일러 스크립트를 발견했는데, 이는 서버가 대량의 스팸을 보내는 데 사용되었다는 것을 의미한다. 최초 진입 지점을 확인할 수 없었다. 해커는 취약점을 사이트의 테마나 플러그인 중 하나에 사용했을 가능성이 크다.
3. [기사]늘어나는 애플리케이션, 백엔드 보안도 생각해야 한다
http://www.boannews.com/media/view.asp?idx=55058&page=1&kind=1
어플리케이션을 통하여 백엔드 플랫폼에 들락날락 하는 광범위한 데이터가 현재 노출될 위협에 처해 있거나 이미 유출되고 있다고 하는데, 관계형 데이터베이스나 비관계형 데이터베이스 모두에서 이런 위험이 발견되고 있다고 한다. 그 이유는 개발자들이 앱을 통하여 백엔드에 접속하는 과정에 인증 기술이나 차단 기술을 전혀 도입하고 있지 않아서다. 앱을 개발하는 과정에서 개발자들이 방화벽이나 인증 기술로 백엔드를 보호할 생각을 하지 않으니, 사실상 리버스 엔지니어링이나 스캔을 조금 할 줄 아는 사람이면 누구나 출입해 각종 기록들을 마음대로 가져가거나 암호화시켜 랜섬웨어 공격처럼 돈을 요구할 수도 있게 된다.
4.[기사] 랜섬웨어 보다 2배더 요구하는 금융 Malware
https://www.symantec.com/connect/blogs/financial-malware-more-twice-prevalent-ransomware
금융 위협은 랜섬만큼 뉴스 보도를 얻지 못하는 경향이 있지만, 그들은 훨씬 더 널리 퍼져 있다. 120 만 연간 탐지로 보면, 금융 위협이 랜섬보다 2.5배 더 크다 . 현금 지급기에 대한 공격, 온라인 뱅킹과 POS머신 공격 등 범죄자에 의해 사용되는 다양한 공격 경로가 있으며, 공격자의 궁극적인 목표는 더 큰 이익을 생성하는 것이다. 은행이나 금융기관의 고객보다 그 자체 은행과 금융 기관에 대한 공격을 더 많이 주도했다.
5. [기사] OneLogin Password Manager 해킹, 사용자 데이터 유출
http://thehackernews.com/2017/06/onelogin-password-manager.html
클라우드 기반 암호 관리 및 ID 관리 소프트웨어 회사인 OneLogin은 회사가 데이터 유출 사고를 겪었다고 인정했다. 도난당한 데이터에는 "암호화 된 데이터를 해독하는 기능"도 포함된다. 특히 침입 이후 사이버 범죄자의 다음 단계인 피싱 전자 메일에 주의해야 한다. 이는 회사가 1년 내에 겪은 두번째 데이터 유출이다. 2016년 8월 OneLogin은 허가받지 않은 해커가 "로그 저장 및 분석"에 사용하는 회사의 독립형 시스템 중 하나에 액세스하는 별도의 데이터 유출을 겪었다.
6. [기사] Fireball Malware, 전세계 2억 5천만대의 PC가 감염
http://thehackernews.com/2017/06/fireball-computer-virus.html
보안 연구원은 이미 Windows 및 Mac OS를 포함하여 전세계 2억 5천만 대의 컴퓨터에 감염된 대규모 멀웨어 캠페인을 발견했다. Fireball 이라고 불리는 이 악성 코드는 피해자의 웹 브라우저를 완벽하게 제어하고 좀비로 바꾸는 애드웨어 패키지로, 공격자가 피해자의 웹 트래픽을 감시하고 잠재적으로 데이터를 도용할 수 있다. 현재 파이어 볼 애드웨어는 광고를 강화하고 수익을 얻기위해 사용자의 웹 트래픽을 가로 채고 있지만 동시에 애드웨어는 추가 멀웨어를 배포할 수 있는 기능을 갖추고 있다.
7. [기사] Kmart 지불 시스템 악성코드에 감염돼
http://www.securityweek.com/kmart-payment-systems-infected-malware?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+Securityweek+%28SecurityWeek+RSS+Feed%29&utm_content=FeedBurner
백화점 체인 Kmart는 미국 시간으로 수요일, 고객에게 ' 사이버 범죄자가 회사의 지불 처리 시스템에 악성 코드를 설치 한 후 신용 카드 또는 직불 카드 데이터를 훔쳤다'고 통보했다. PoS(Point of Sale)맬웨어가 공격에 사용된 것은 확실하지 않지만 소매 업체는 이를 "새로운 형태의 맬웨어" 및 "현재 바이러스 백신 시스템에서 탐지 할 수 없는"것으로 설명했다. 회사의 조사에 따르면 공격자가 지불 카드 번호에만 액세스했을 수도 있다고 생각한다.
8. [기사] [긴급] 교통위반 범칙금 랜섬웨어 2탄 출현! 이번엔‘eFINE'사칭
http://www.boannews.com/media/view.asp?idx=55054&kind=1
지난 5월 29일 본지에서‘수원남부경찰서를 사칭한 교통위반고지 랜섬웨어 메일 사건을 보도한 지 불과 3일 만에, 또 다른 버전의 교통위반고지 랜섬웨어가 등장했다. 이번에는 교통범칙금 인터넷 납부 및 교통조사예약 시스템인‘eFINE'을 사칭했는데, 그 수법과 이메일 내용을 봤을 때 앞서 사건과 동일한 수법으로 보인다. 5월 31일 유포된‘[eFINE]위반사실 통지 및 과태료부과 사전통지서’란 이름의 해당 이메일은‘eFINE 교통범칙금 인터넷 납부’에서 보낸 것으로 위장하고 있다. 이번 경우는 단순히 지메일을 사용했다. 이메일에는‘efine.png’ 파일과 ‘과태료부과고지서.egg’ 파일이 첨부되어 있으며, 파일을 다운받아 실행할 경우 랜섬웨어에 감염된다. 한 보안전문가에 따르면, 해당 랜섬웨어 메일로 감염된 사례가 있으며, 그 피해가 상당한 것으로 알려졌다.
9. [기사] ‘여기어때’ 해킹 사건 전말…”중국 해커 PC에 추가 해킹피해 업체 더 있어”
http://www.dailysecu.com/?mod=news&act=articleView&idxno=20536
경찰청 사이버수사과는 오늘 지난 3월 6일부터 17일 발생한‘여기어때’해킹과 관련해 피의자 일당 총 5명 중 4명(한국인3, 중국인1)을 검거하고 해외 체류 중인 해킹 알선 및 공갈 피의자를 추적중에 있다고 밝혔다. A와 B는 지난해 11월경‘여기어때’이용자들의 개인정보를 해킹한 뒤 이를 이용해 돈을 뜯어내기로 공모한 후, B는 C에게 ‘여기어때’를 해킹하면 1억 원을 주겠다면서 해킹할 사람을 구해달라고 했고 C가 D에게 이를 다시 전달하고, D는 중국인 해커 E에게 1천만 원을 주겠다고 하며 해킹을 의뢰했다. 중국인 해커 E는 구두약속을 하고 3월 6일에서 17일‘여기어때’홈페이지를 해킹해 이용자들의 숙박예약정보, 회원정보, 제휴점 정보를 유출했다. 중국인 해커 E는 중국 해커 팀에 소속되어 활동 중이며, 국내에서 해킹 의뢰를 받아 다수의 사이트를 해킹한 것으로 보인다.
10. [공지][중요] Judy 안드로이드 악성코드, 3650만명이 넘는 구글플레이 이용자 감염
https://www.krcert.or.kr/data/trendView.do?bulletin_writing_sequence=25846
연구원은 GooglePlay스토어에서 3650만명 가량이 설치한 안드로이드 어플리케이션에 악성 광고 클릭 소프트웨어가 삽입되어 있다고 밝혔다. 해당 어플리케이션들은 국내 회사에서 제작되어, 쥬디 멀웨어로 명명되었으며, 어플리케이션 실행 시 노출되는 광고의 클릭수를 조작해 정당하지 않은 수익을 내는 애드웨어 라고 한다. 쥬디 말웨어에선 구글의 악성 어플리케이션 탐지 시스템인 Google Bouncer 보호 기능을 우회하는 악성코드를 찾아 볼 수 없었다. 어플리케이션을 설치함과 동시에 피해자 몰래 원격 명령 및 제어 서버와 통신하여 피해자의 기기정보를 등록한다. 그 후, 원격 명령 및 제어 서버와의 통신을 통해 피해자의 기기에 악성 행위를 하는 자바스크립트 코드를 설치하고 코드를 통하여 Google 광고 인프라에서 배너를 찾아 클릭하게 하여 정당하지 않은 수익을 발생시키게 한다.
11. [공지][중요]악성 어플로 모든 버전의 안드로이드 기기를 손상 가능
https://www.krcert.or.kr/data/trendView.do?bulletin_writing_sequence=25847
연구원은 새로운 유형의 공격으로 모든 버전의 안드로이드 기기를 손상시킬 수 있다고 밝혔다. 기존 안드로이드의 버그를 이용한 공격 방법이 아닌 안드로이드 플랫폼의 설계 단점을 이용한 공격 방법이라고 한다. 안드로이드 최신버전(v7.1.2)을 포함한 모든 버전의 안드로이드 OS를 공격 가능하다. 녹음, 피싱, 모든 권한이 활성화된 어플 자동 설치, 화면 꺼짐 상태에서 전화, 잠금 해제 등 제어가 가능하다. 구글은 Android OS에서 이 문제를 방지할 보안 기능을 구축했지만 이전 버전의 OS에서는 이 공격방법을 활용할 수 있다.
