Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향[2018년 10월 12일] 주요 보안 이슈
작성일 2018-10-12 조회 220

1. [기사] Exaramel Malware Links Industroyer ICS malware and NotPetya wiper
[https://securityaffairs.co/wordpress/77051/malware/exaramel-malware.html]
몇달 전, ESET의 연구원들은 산업계와 NotPetya Wiper 간에 연관성이 있음을 보여주는 새로운 멀웨어를 발견하였다. 2017년 6월, ESET의 연구원들은 전력 그리드를 목표로 설계된 Industroyer라는 새로운 변종 멀웨어를 발견하였다. 2016년 12월, 우크라이나의 전기 변전소 공격에 해당 멀웨어가 정전을 초래하기도 하였다. Industroyer는 ICS 시스템을 대상으로 특별히 설계된 멀웨어로, 이전 멀웨어로 Stuxnet, BlackEnergy, Havex가 존재했다. 이제 전문가들은 2016년 Industroyer 공격과 러시아에 연계된 APT 집단 사이에 앞서 언급한 멀웨어들이 연관되어 있음을 발견한 것이다. 이후 2018년 4월, ESET은 TeleBots 그룹에서 Industroyer와 연계하여 제작한 Exaramel로 추정되는 새로운 백도어를 발견하였다. 연구자들은 해당 멀웨어에서 XML 형식의 구성 데이터에 손상된 시스템에 적용하는 보안 솔루션이 포함되어 있음을 확인하였고, 이것이 Industroyer와 유사하다는 것을 발견하였다. 두 멀웨어는 모두 실행된 쉘 명령과 시작된 프로세스의 결과 출력을 저장하는 데에 리포트 파일을 사용한다. Industroyer 도구 세트와 Exaramel 백도어 사이의 가장 큰 차이점은 후자가 사용자 정의 바이너리 형식 대신 통신 및 구성에 XML 형식을 사용한다는 것이다. ESET은 우크라이나 조직을 목표로 한 Exaramel을 기반으로 한 공격을 관찰하였고, 그와 함께 Linux/Exaramel.A로 알려진 리눅스 백토어 또한 발견하였다. 이를 통해 ESET은 TeleBots 그룹이 2018년에도 여전히 활동 중이며, 공격자들이 이들의 도구와 전술을 계속해서 발전시키고 있다는 결론을 내렸다.

 


2. [기사] New Gallmaker APT group eschews malware in cyber espionage campaigns
[https://securityaffairs.co/wordpress/77041/apt/gallmaker-apt-emerges.html]
Symantec의 연구원들에 따르면, Gallmaker라고 이름붙여진 새로운 사이버 공격 단체가 동유럽 국가의 해외 대사관과 중동 지역의 군사 및 방위 기관에 대해 공격을 가한 것으로 드러났다. Gallmaker는 정부, 군사, 국방 분야의 외과 수술쪽에 중점을 맞춤 APT 단체이다. 전문가들은 해당 APT가 인터넷에서 폐기된 암호를 주로 이용하고 있다는 것에 주목하였다. Symantec이 발표한 분석에서는 이 그룹이 맞춤형 멀웨어가 아닌 공개적으로 사용 가능한 해킹 툴을 이용하는 공격을 주로 가한다고 발표하였다. Gallmaker는 DDE(Dynamic Update Exchange) 프로토콜을 사용하는 무기화된 Office 문서를 사용하여 대상 장치의 메모리에 명령을 실행한다. 이러한 유인물 문서들은 정부, 군사, 외교적 주제를 활용하여 제목을 짓는 것으로 밝혀졌다. 문서들이 그리 정교하지는 않지만, 해킹 사건은 이러한 공격이 효과적이었음을 보여주고 있다. 전문가들은 Gallmaker APT가 C&C 인프라에 3개의 주요 IP 주소를 사용하고 있다는 사실을 발견했으며, 공격자가 공격이 완료되면 손상된 시스템에서 도구 일부를 삭제하여 활동의 흔적을 숨길 수 있다는 점도 발견하였다. Gallmaker는 공개적으로 이용 가능한 해킹 도구에만 의존하는 듯 하기 때문에 이들의 활동을 탐지하는 것은 매우 어려운 일이다. Symantec은 이 해킹 그룹이 은닉에 중점을 두고 공격을 가하는 것을 목표로 한다고 추정하고 있다.

 


3. [기사] Just Answering A Video Call Could Compromise Your WhatsApp Account
[https://thehackernews.com/2018/10/hack-whatsapp-account-chats.html]
WhatsApp에서 통화를 받는 것 만으로 스마트폰을 해킹할 수 있는 치명적인 취약점이 발견되었다. 해당 취약점은 사용자가 비디오 호출 요청을 통해 악의적으로 조작된 RTP 패킷을 수신할 때 발생하는 메모리 힙 오버플로우로 인해 발생한다. 이로 인해 메모리 손상 오류가 발생하고, WhatsApp 모바일 앱이 손상되는 것이다. 해당 취약점은 WhatsApp의 RTP 구현에 영향을 미치기 때문에 Android 및 iOS 앱에 영향을 준다. 하지만 WhatsApp Web 어플리케이션은 비디오 호출을 위해 WebRTC를 사용하기 때문에 영향을 받지 않는 것으로 알려졌다. Silvanovich는 이러한 취약점을 이용한 공격을 재현하기 위한 지침과 함께 개념 증명 공격까지 발표하였다. 이들이 발표한 사항은 메모리 손상만을 유발하지만, 구글 프로젝트 제고의 연구원은 공격자가 전화를 걸어 피해자의 어플을 완전히 손상시키고, WhatsApp 계정을 가로채 비밀 대화를 감시할 수도 있다고 주장하였다. Silvanovich는 올해 8월 WhatsApp 팀에 해당 취약점을 보고하였고, WhatsApp 측에서는 이 취약점을 인정하고 9월 28일과 10월 3일에 거쳐 안드로이드와 아이폰에서 문제를 해결하였다.

 


4. [기사] Multiple Vulnerabilities Dicovered In RouterOS That Affected MikroTik Routers
[https://latesthackingnews.com/2018/10/11/multiple-vulnerabilities-dicovered-in-routeros-that-affected-mikrotik-routers/]
MikroTik 라우터가 다시 한 번 이슈가 되었다. 한 연구자가 MikroTik 라우터에서 시스템 전체를 손상시킬 수 있는 몇가지 취약점을 발견한 것이다. 또한 공격자가 디바이스에 대한 루트 액세스 권한을 얻을 수 있는 이전 취약점을 이용할 수 있는 새로운 방법까지도 찾아내었다. Tenable의 한 연구원은 Mikrotik Routers에서 4가지 취약점을 발견하였다. 여기에는 원격 코드 실행 취약점, 파일 업로드 메모리 손상 취약점 및 재귀 JSON 구문 분석 스택 손상이 포함되어 있었다. 이 모든 취약점들은 서로 다르지만, 이들은 모두 악용 전에 인증을 위한 올바른 사용자 자격 증명이 필요하다는 공통점을 가지고 있다. 4가지 취약점은 모두 위험하지만, 그 중 원격 코드 실행은 공격자가 대상 시스템을 원격으로 완전히 제어할 수 있기 때문에 가장 문제가 되는 취약점으로 분류되었다. 이러한 취약점은 Tenable의 권고에 언급된 바와 같이 인증된 RCE 취약성을 기본 자격 증명이 있는 라우터에 사용하는 경우, 공격자가 잠재적으로 전체 시스템 액세스를 획득하여 트래픽을 우회 및 재라우팅하고 라우터에 대한 액세스를 허용할 수 있는 것으로 알려졌다. 이 취약성은 또한 과거에 MikroTik 라우터를 해킹하는 데에도 이용되었다. 최근의 몇몇 사건들에는 브라질의 암호 해독 캠페인과 사용자들의 트래픽을 가로챈 수천 개의 라우터 해킹이 포함된다. 해당 취약점에 대한 업데이트는 현재 사용할 수 있지만, Tenable에서는 전 세계 약 20만 개의 라우터가 여전히 이 결함에 취약하다고 우려하였다.


5. [기사] 중동 주로 노리던 머디워터 해킹 그룹, 최근 공격 규모 늘려
[https://www.boannews.com/media/view.asp?idx=73583&page=1&mkind=1&kind=]
최근 Kaspersky에서 사이버 정찰 그룹인 MuddyWater가 스피어피싱 이메일을 사용해 이전보다 더 많은 나라들을 공격하고 있는 것을 발견했다. MuddyWater는 지난 해 처음으로 상세하게 공개된 공격 단체로 이라크와 사우디아라비아의 정부 기관을 주로 노리는 것으로 알려져 있다. 이번에 발견된 공격으로 전문가들은 MuddyWater가 이라크와 사우디아라비아 뿐 아니라 다른 나라들도 공격하기 시작했다는 것을 강조하였다. 최근 캠페인에서 MuddyWater는 새로운 스피어피싱 문건을 사용하기 시작하였으며, 사용자가 이를 열면서 악성 매크로를 발동시키도록 만들기 위해 소셜 엔지니어링 기법을 사용하였다. 이들은 분석을 피하기 위해 악성 매크로에 비밀번호를 걸어두기도 하였다. 코드가 실행되면 3개의 파일이 ProgramData 폴더에 설치되고, 현재 사용자의 RUN 키에 레지스트리가 추가된다. 이로 인해 사용자가 컴퓨터를 종료한 후 다시 로그인할 때도 코드가 똑같이 실행될 수 있는 것이다. 이 공격에서 사용되는 건 마이크로소프트의 정상적인 실행파일들로, 전부 화이트리스트 된 것들이다. 그러므로 대부분 상황에서 페이로드가 실행되는 걸 막을 수 없게 된다. 매크로가 드롭하는 파일들은 INF, SCT, TXT, VBS 등과 같은 파일들이다. 멀웨어를 통해 기기의 감염에 성공하면 공격자들은 사용자의 IP 주소와 OS 정보, 기기 이름, 도메인 이름, 사용자 이름 등을 C&C 서버로 전송시키고, 이를 통해 공격자는 공격 대상자들을 분류하고 2차 공격에 나서게 된다. 현재 이 공격의 최대 피해자는 요르단, 터키, 이라크 등의 지역에 몰려 있다. 규모가 좀 작긴 하지만 비슷한 피해가 러시아, 이란, 오스트리아, 말리 등에서 발견되기도 했다. Kaspersky의 전문가들은 MuddyWater가 고급 소셜 엔지니어링 공격을 통해 대규모 공격을 펼치면서도, 공격 방법과 인프라를 활발하게 개발하여 끊임없이 스스로를 변화시키고 있어 파악하기 가장 까다로운 단체로 성장하고 있다고 우려의 목소리를 높였다.

첨부파일 첨부파일이 없습니다.
태그 Gallmaker 그룹  WhatsApp 취약점  MikroTik 라우터  MuddyWater 그룹