1. [기사] 가짜 SpriteCoin 가상화폐 지갑으로 위장한 MoneroPay 랜섬웨어
[https://www.bleepingcomputer.com/news/security/moneropay-ransomware-disguised-as-wallet-for-fake-spritecoin-cryptocurrency/]
SpriteCoin이라는 가짜 코인 지갑으로 확산되어 가상화페 열풍을 이용하는 MoneroPay라는 새로운 랜섬웨어가 발견되었습니다. 사용자가 새로운 가상화폐라고 생각했던 것을 설치하는 동안 MoneroPay는 컴퓨터에서 파일을 자동으로 암호화하고 있었습니다. 보안 연구원 MalwareHunterTeam에 의해 처음 발견된 이 랜섬웨어는 1월 6일 BitcoinTalk라는 가장 큰 가상화폐 포럼에 게시된 주제로 배포되었습니다. 이 주제는 SpriteCoin이라는 새로운 대안화폐의 출시를 알리는 데 사용되었습니다. 게시물에는 지갑에 대한 링크와 함께 SpriteCoin에 대한 간략한 페이지가 포함된 오프라인 사이트 링크가 포함되어 있었습니다. 이후 이 주제는 삭제되었지만, 가상화폐가 매우 뜨겁고 잠재적으로 수익성이 높기 때문에 새로운 코인이 출시되면 많은 사람들이 코인의 지갑을 다운로드하여 난이도가 너무 높아지기 전에 채굴을 시작합니다. 과거에 지갑과 관련하여 많은 오탐이 있었기 때문에 일부 사람들은 새 지갑을 시험할 때 AV를 사용하지 않습니다. MoneroPay 랜섬웨어는 이 지식을 바탕으로 랜섬웨어를 조용히 설치할 수 있었습니다.
2. [기사] 감염된 안드로이드 게임, 4백 5십만 명이 넘는 사용자에게 애드웨어 확산
[https://www.bleepingcomputer.com/news/security/infected-android-games-spread-adware-to-more-than-4-5-million-users/]
사용자 간 채팅 기능을 제공하기 위한 Android 앱 구성 요소는 웹 사이트를 열고 전화 배경의 광고를 클릭하는 것입니다. 이 악의적인 구성 요소는 중국 회사인 Ya Ya Yun이 제공하는 SDK(Software Development Kit)의 일부입니다. Android 앱 개발자는 Ya Ya Yun SDK를 사용하여 개발중인 게임에 인스턴트 메시징(채팅) 기능을 추가합니다. 러시아의 바이러스 백신 공급 업체인 Dr.Web에 따르면 이러한 응용 프로그램은 양질의 이미지 안에 숨겨진 다른 구성 요소를 다운로드 하는 곳입니다. 또한, Dr.Web 전문가는 "바이러스 제작자는 피싱 창을 표시하여 로그인 자격 증명을 훔치고 광고를 표시하며 은밀하게 응용 프로그램을 설치하는 등의 악의적인 행동을 수행하는 추가 트로이목마 모듈을 만들 수 있습니다." 라고 발표했습니다. 현재 Play 스토어를 통해 제공되는 27가지 안드로이드 게임을 설치한 450만 개가 넘는 기기에서 이러한 악의적인 행동이 발견되었습니다.
3. [기사] 北해커, 인도서 '암호화폐 탈취' 연습 가능성
[http://news1.kr/articles/?3217517&view=pc]
북한 해커들이 최근 인도와 그 주변국을 상대로 가상화폐 탈취를 위한 사이버 공격 연습을 해왔을 가능성이 있다는 주장이 제기돼 관심이 모아지고 있습니다. 사이버 보안 업체 '트렌드마이크로'는 24일(현지시간) 자사 블로그를 통해 "북한과 연관된 해킹 그룹 '라자루스'가 과거 은행 해킹에 사용했던 악성 프로그램(라탄크바)의 새로운 버전(파워라탄크바)을 작년 6월부터 개인과 비금융권 조직 등에 대한 암호화폐 관련 해킹에 쓰이기 시작했다"고 밝혔습니다. 트렌드마이크로는 특히 "'라자루스'가 해킹한 자료의 임시 저장 용도로 사용했던 서버들을 분석한 결과, 피해자의 55%가 인도와 그 주변 국가에 있는 것으로 파악됐다"면서 "해커들이 이 지역의 목표물을 상대로 해킹 등 사이버 공격을 벌였거나 다른 공격 준비 차원에서 연습을 했을 수 있다"고 설명했습니다. 북한은 최근 한국에서 발생한 암호화폐 거래 사이트 해킹 사건의 배후로도 지목되고 있는 상황입니다.
4. [기사] Windows, MacOS, Linux를 대상으로 하는 CrossRAT
[https://thehackernews.com/2018/01/crossrat-malware.html]
광범위한 사이버 범죄자는 이제 Windows, macOS, Solaris 및 Linux 시스템을 대상으로 하는 새로운 '탐지 불가' 스파이 맬웨어를 사용하고 있습니다. CrossRAT 이라는 새로운 플랫폼의 이 악성 코드는 Dark Caracal 그룹에 의해 개발된 것으로 예상됩니다. CrossRAT은 원격 공격자가 파일 시스템을 조작하고, 스크린 샷을 찍으며, 임의의 실행 파일을 실행시키고, 감염된 파일을 지속적으로 사용할 수 있게 해주는 크로스 플랫폼 원격 액세스 트로이목마입니다. 연구원에 따르면, Dark Caracal 해커는 악성코드를 배포하기 위해 "제로데이 익스플로잇"에 의존하지 않습니다. 대신 Facebook 그룹 및 WhatsApp 메시지에 대한 게시물을 통해 기본 사회 공학을 사용하여 사용자들이 해커가 제어하는 가짜 웹 사이트를 방문하고 악성 응용 프로그램을 다운로드 하도록 유도합니다.
5. [기사] 20,000개 이상의 IoT 기기를 손상시킨 HNS 봇넷
[http://securityaffairs.co/wordpress/68194/malware/hns-botnet-20000-iot.html]
Bitdefender 연구원은 희생자를 이용하고 인프라를 구축하기 위해 첨단 통신 기술을 사용하는 새로운 봇넷을 발견했습니다. HNS라고 불리는 이 봇은 Telnet 서비스에 대한 자격 증명 사전 공격에 따라 IoT 허니팟 시스템에 의해 차단되었습니다. Bitdefender의 분석 내용은 다음과 같습니다. "1월 10일 허니팟에서 확인된 샘플은 한국 회사가 제조한 IP 카메라를 중심으로 돌아갔습니다. 이러한 장치는 샘플에서 하드코드된 12개의 IP 주소 중 10개가 Focus H&S 장치에 속하기 때문에 봇넷에서 중요한 역할을 한 것 같습니다." HNS 악성코드는 Reaper로 익스플로잇을 사용하여 일련의 IoT 장치를 감염시킬 수 있으며 현재 버전은 데이터 추출, 코드 실행 및 장치 작동에 대한 간섭 등과 같은 여러 유형의 명령을 수신하고 실행할 수 있습니다.
6. [기사] libcurl의 정보 유출, DoS 취약점 패치
[http://www.securityweek.com/information-disclosure-dos-flaws-patched-libcurl]
libcurl은 약 20개의 프로토콜과 다양한 기능을 지원하는 휴대성이 뛰어난 무료 파일 전송 라이브러리입니다. 최신 libcurl 릴리스 7.58.0 버전은 정보 노출 또는 DoS(서비스 거부) 상태로 이어질 수 있는 두 가지 취약점을 포함하여 총 82개의 버그를 패치합니다. CVE-2018-1000007로 추적되는 보안 취약점 중 하나는 인증 데이터가 제 3자에게 유출될 수 있습니다. CVE-2018-1000005로 표시된 두 번째 취약점은 DoS 조건 또는 정보 유출로 이어질 수 있는 out-of-bounds read 문제로 설명되었습니다. CVE-2018-1000007은 1월 18일에 개발자에게 알리기 위해 보고되었으며 CVE-2018-1000005는 1월 10일에 주목을 받았습니다. 개발자는 이러한 취약점을 악용하려는 시도에 대해 알지 못했다고 전했습니다.
7. [기사] 한국식 표현이 포함된 ‘카카오톡 위장 랜섬웨어 변종’ 발견...주의
[http://www.dailysecu.com/?mod=news&act=articleView&idxno=28760]
한국식 표현이 포함된 ‘카카오톡 위장 랜섬웨어 변종’이 발견되었습니다. 새롭게 발견된 카카오톡 위장 랜섬웨어는 지난 2016년 8월 20일 경 발견된 KOREAN 랜섬웨어와 비교했을 때 폰트와 이미지, 암호화 대상 확장자 등 바뀐 부분을 확인할 수 있으나, 토르 사이트 주소가 동일하고 "%위"를 "응위"로 작성하는 등 대부분의 특성이 흡사한 것으로 보아 모방한 것으로 추정됩니다. 이 랜섬웨어는 Hidden-Tear 오픈 소스 기반으로 제작되었으며, Hidden Tear는 본래 교육용으로 배포된 랜섬웨어지만 현재 실제 활용되어 배포되고 있다고 합니다. 앞으로 랜섭웨어 관련 지속적인 주의가 요구됩니다.
