Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향[2018년 11월 9일] 주요 보안 이슈
작성일 2018-11-09 조회 103

1. [기사] U.S. Cyber Command CNMF Shares unclassified malware samples via VirusTotal
[https://securityaffairs.co/wordpress/77800/hacking/cyber-command-cnmf-virustotal.html]
USCYBERCOM이 사이버 보안 업계와 공유할 목적으로 VirusTotal 인텔리전스 서비스에 기밀이 아닌 악성 코드 샘플을 제공하고 있다. 이는 CYBERCOM_Malware_Alert VirusTotal 계정에서 공유되는 것으로, 샘플에 관심이 있는 연구원들은 트위터의 USCYBERCOM 악성 코드 보고 계정을 팔로우하여 소식을 들을 수 있다. 이는 CNMF가 공공 부문과의 협업의 가치를 인식하였기 때문이며, 이들은 이를 통해 글로벌 사이버 보안 향상에 큰 영향을 미칠 수 있기를 희망하고 있다. 지난 5월 VirusTotal의 CNMF에서 공유한 첫번째 샘플은 LoJax 제품군에 속하며, 몇몇 LoJack 에이전트가 러시아에서 Bearlink로 관리되는 서버에 연결되어 있는 것으로 확인되었다. 최근 공유된 샘플은 ESET의 악성 코드 연구원이 9월에 발견한 UEFI rootkit과 관련이 있는 것으로 추정되고 있다.

 


2. [기사] Here's How Hackers Could Have Spied On Your DJI Drone Account
[https://thehackernews.com/2018/11/dji-drone-hack_8.html]
CheckPoint의 사이버 보안 연구원들이 공격자가 비행 기록, 위치, 실시간 비디오 카메라 피드, 사진 등 사용자 계정에 접근하고 중요한 정보를 동기화할 수 있는 DJI Done 웹의 잠재적 취약점에 대한 세부 정보를 공개했다. 이는 올해 3월 이와 같은 취약점을 발견하여 CheckPoint가 DJI 보안팀에 보고한 바가 있는 것으로, 약 반년만에 해결된 셈이다. 취약점은 총 3가지였는데, 그 중 하나는 공격자가 XSS 취약점을 이용하여 악의적인 자바스크립트 코드를 DJI 포럼 웹사이트에 주입함으로써 사용자의 로그인 쿠키를 훔칠 수 있게 만드는 것이었다. 공격자는 이를 통해 DJI 웹 계정, 모바일 앱 및 중앙 집중식 드론 운영 플랫폼을 완벽하게 제어할 수 있게 된다. 이들은 이 결함을 이용한 공격이 성공하려면 사용자가 DJI 포럼에서 특별히 고안된 악성 링크에서 DJI 계정에 로그인해야 하기 때문에 높은 위험도와 낮은 가능성을 책정하였다.

 


3. [기사] StatCounter Analytics Code Hijacked to Steal Bitcoins from Cryptocurrency Users
[https://thehackernews.com/2018/11/statcounter-cryptocurrency-cyberattack.html]
지난 주말, ESET 악성 코드 연구원인 매튜 파우는 이번 주말 주요 웹 분석 플랫폼인 StatCounter의 트래픽 추적 코드와 함께 제공된 약 70만개의 웹 사이트에서 악성 자바 스크립트 코드를 발견하였다. 해당 서비스를 통해 악의적인 코드가 수십만개의 다른 웹 사이트에 주입되었고, 해당 스크립트는 웹 페이지의 URL 또는 컨텐츠에 특정한 리소스 식별자(URI : myaccount/weep/B)가 포함된 경우에만 활성화된다. 이는 게이트와 연결하여 비트코인 서비스의 탈퇴 및 전송 기능을 수행하는 것으로 밝혀졌다. 사용자가 비트코인을 전송할 때, 해당 스크립트를 통해 전송 대상 비트코인 주소를 해커의 주소로 변경하는 것이다. 이는 정상적인 코드 중간에 추가된 것으로 주의깊게 관찰하는 것만으로는 대처가 어렵다. StatCounter는 11월 6일 추가 손상을 방지하기 위해 분석 서비스 중단 전에 악성 스크립트를 제거하였다. 이 회사는 또한 이후 56개의 바이러스 백신 제품으로 웹사이트를 체크했고, 의심스러운 코드가 존재하지 않는다고 발표하였다. Gate.io는 이러한 조치에 더해 고객들에게 2FA와 2단계 로그인 보호를 통해 계정의 보안 수준을 극대화할 것을 촉구하였다.

 


4. [기사] Canadian University Undergoes A Forced Shutdown After Cryptojacking Attack
[https://latesthackingnews.com/2018/11/08/canadian-university-undergoes-a-forced-shutdown-after-cryptojacking-attack/]
올해, 암호화폐 채굴 및 탈취 공격이 랜섬웨어로부터 왕좌를 빼앗았다. 크립토재킹이라 알려진 해당 공격은 대상자의 허가 없이 대상 시스템에 암호화폐 채굴 악성 코드를 설치하여 이를 통해 대상자의 컴퓨터에서 암호화폐를 채굴 및 전송받는 공격 기법이다. 이번 희생자는 캐나다의 세인트 프랜시스 사비에르 대학이다. 해당 학교에서 발표한 온라인 성명에서 학교는 공격자들이 암호화폐를 채굴하기 위해 학교의 컴퓨터 시스템을 이용하고 있다는 사실을 발견한 후, 학교 네트워크를 일시적으로 중단하여야 한다고 밝혔다. 해당 공격은 자동화 공격으로 추정되고 있고, 이는 해당 기관의 네트워크를 오프라인으로 전환함으로써 해결되었다. 네트워크 종료로 인해 WiFi 연결, DCB, 직불 거래 등이 서비스 중단을 겪었다. 현재 암호화폐 채굴을 제외한 추가적인 개인정보 침해의 흔적은 없지만, 학교 측에서는 앞으로 의심스러운 활동이 일어나는지를 지속적으로 분석하고 감시할 것이라 밝혔다.

 


5. [기사] 시만텍 "北해커, ATM서버 공격…수천만 달러 현금 빼내"
[http://www.nocutnews.co.kr/news/5058418]
북한과 연계된 해커집단인 히든 코브라 또는 라자루스가 적어도 지난 2016년부터 은행 서버에 악성코드를 심어 아시아와 아프리카 일대의 ATM기에서 현금을 탈취해왔다는 보고서가 발표되었다. 미국의 디지털 보안업체인 시만텍은 지난 8일 라자루스 그룹이 FASTCash라는 이름의 악성코드를 아시아와 아프리카 일대의 은행 서버에 침투시켰다고 밝혔다. FASTCash 악성 코드는 해커들이 보낸 현금 인출 요청을 은행 서버가 승인하도록 조작하여 ATM기기에서 현금을 훔칠 수 있도록 하는 것이다. 미 국토안보부와 재무부, FBI에서는 지난달 2일 경보를 발령하기도 했는데, 해당 경보에 의하면 지난해 30개국의 ATM기에서 현금 인출이 동시에 이루어졌고, 올해도 23개국에 있는 ATM기에서 현금 인출이 일어난 것으로 밝혀졌다. 시만텍은 지금까지 라자루스의 FASTCash 작전으로 수천만 달러의 현금이 탈취된 것으로 추정된다고 밝혔다. 

첨부파일 첨부파일이 없습니다.
태그 VirusTotal USCYBERCOM  StatCounter Code Hijack  Canadian University Cryptojacking