Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향[2018년 11월 26일] 주요 보안 이슈
작성일 2018-11-26 조회 932

1. [기사] Exclusive Cybaze ZLab – Yoroi – Hunting Cozy Bear, new campaign, old habits 
[https://securityaffairs.co/wordpress/78353/apt/new-cozy-bear-campaign.html]

Cybaze ZLab – Yoroi의 전문가들은 러시아로 연결된 APT29 사이버스파이 그룹(코지 베어)에서 사용하는 새로운 유형의 악성 프로그램을 지속적으로 분석했다. 국방 기관, 언론 기관, 법 집행 기관 등 많은 미국 주요 기업을 대상으로 한 최근 공격과 관련된 것으로 보이는 APT29의 악성코드를 분석했다. 공격자들은 미국 국무부로 가장한 스피어 피싱 공격을 수행했다. 전문가들은 Cozy Bear 공격자들이 지난 캠페인에서 이미 사용하고 있던 악성 코드를 삭제하기 위한 기술을 사용했다는 것을 발견했다. 같은 공격 방법을 2016년에 APT 그룹에서 미국 대선이 있은 후에 Cozy Bear이 사용했었다. 당시 Cozy Bear 해커들은 스스로를 추출하는 무기화된 링크 파일을 포함한 압축 파일을 사용하여 스피어 피싱 공격을 수행했다. 
Cybaze ZLab – Yoroi의 연구원들은 탐지를 피하기 위해 사용되는 기술은 매우 정교하다고 지적했다. 완전한 페이로드가 포함된 링크 파일의 사용은 강력한 기술로, 여러 일반적인 안티바이러스 솔루션에서는 여전히 감지하기 어렵다. 이러한 분석은 Yoroi 블로그에 게시되었다.


2. [기사] US Government is asking allies to ban Huawei equipment 
[https://securityaffairs.co/wordpress/78373/intelligence/usa-allies-ban-huawei.html?fbclid=IwAR3zV3n_q6Y52EcuLz8BLGpKay3g5l4qJBiVJrfca04f98Y8FqBlAYSHXUk]

미국 정부가 주요 인프라와 5G 아키텍처에서 화웨이 장비를 제외시키기 위해 동맹국들을 모집하고 있다. 월스트리트저널은 미국 정부가 동맹국들에게 화웨이를 중요 인프라와 5G 아키텍처에서 제외하라고 촉구하고 있다고 보도했다. 미국은 화웨이 장비 도입의 경우 국가 안보의 위험을 강조하고 있으며, 동맹국의 인터넷 사업자와 이동통신 사업자를 상대로 화웨이를 금지하도록 주장하고 있다. 중국 장비는 독일, 이탈리아, 일본을 포함한 많은 동맹국들에서 광범위하게 채택되고 있다. 
월스트리트저널(WSJ)에 따르면 미국 정부는 중국산 장비를 사용하지 않는 국가에서 통신 개발을 위한 금융 지원을 제공할 계획이다. 독일, 호주, 미국이 중국 회사를 금지시킬 결정을 내렸다. 화웨이는 줄곧 중국 정보기관과의 관련성을 부인했다. 


3. [기사] Very trivial Spotify phishing campaign uncovered by experts
[https://securityaffairs.co/wordpress/78410/cyber-crime/spotify-phishing-campaign.html]

AppRiver의 보안 연구원들은 인기 있는 스트리밍 서비스 Spotify를 대상으로 한 피싱 캠페인을 발견했다. 피싱 캠페인은 11월 초에 발견되었으며 공격자는 이메일을 사용하여 Spotify 사용자가 계정 정보를 제공하도록 속였다. 이 메시지에는 사용자가 사용자 이름과 암호를 입력하도록 유도하는 피싱 웹 사이트를 가리키는 링크가 포함된다. 
공격자는 실제 Spotify 로그인 페이지와 동일하게 보이지만 올바른 URL이 아닌 로그인 페이지를 설정한다. 전문가들은 또한 "From Address" 도메인이 공식 Spotify 도메인이 아니라고 지적했다. 공격자는 "CONFIRM ACCOUNT"라는 녹색 단추를 클릭하게 한다. 버튼을 클릭하면 사용자가 피싱 페이지로 리디렉션된다. 


4. [기사] North Korea-linked group Lazarus targets Latin American banks 
[https://securityaffairs.co/wordpress/78382/apt/lazarus-latin-american-banks.html]

북한과 연계된 APT 그룹 라자러스(Lazarus)는 최근 중남미 은행들을 겨냥했다고 트렌드마이크로 전문가들은 전했다. 2014년과 2015년 라자러스 그룹의 활동이 급증하면서 악성코드를 이용한 공격을 감행했고, 빠르면 2007년부터 사이버 스파이 활동과 파괴 활동에 활발하게 활동했다. 대규모 WannaCry 랜섬웨어 공격, 소니 픽처스 해킹 등의 원인으로 간주되고 있다. 
최근, 이 단체는 아시아와 아프리카 전역의 ATM으로부터 수백만 달러를 훔치는 것을 목표로 한 몇 차례의 공격에 연루되었다. 최근 Symantec의 보안 전문가들은 라자러스 APT 그룹이 ATM에 대한 일련의 공격에서 사용했던 FastCash 트로이 목마로 추적된 악성 프로그램을 발견했다. 2016년부터 이 악성코드를 활용해 아시아와 아프리카의 중소기업은행 ATM에서 수백만 달러를 빼돌려 왔다. BKDR_BINLODR.ZNFJ-A로 설치된 백도어도 발견되었다. 2018년 사용한 백도어는 AuditCred.dll/ROptimizer.dll, Msadoz.dll, Auditcred.dll.mui/rOptimizer.dll.mui가 있다. 이러한 DLL이 서비스로 설치되고 여러 시스템에서 서로 다른 이름을 사용한다는 사실을 발견했다. 백도어는 여러 기능을 구현하며, 파일 및 시스템 정보를 수집하고, 파일 및 추가 멀웨어를 다운로드하고, 프록시를 사용한다. 라자루스가 배포하려는 백도어는 검색하기 어렵고 기업의 개인 정보 및 보안에 심각한 위협이 되므로 공격자가 정보를 훔치고 파일을 삭제하며 멀웨어를 설치할 수 있다고 경고했다.


5. [기사] 윈윈소프트, DB 해킹 당해 개인정보 유출됐다
[https://www.boannews.com/media/view.asp?idx=74914]
온라인 쇼핑몰에 웹 호스팅 및 DB 호스팅 서비스를 제공하는 윈윈소프트가 해킹을 당해 개인정보가 유출되는 사건이 발생했다.지난 11월 10일경(추정) 성명불상의 해커가 DB를 해킹해 개인정보를 빼낸 정황을 확인했다. 현재 서울지방경찰청과 관계기관에서 수사가 진행중이라며, 정확한 해킹 일시 등 관련사항이 확인되면 추가로 알리겠다고 밝혔다. 유출된 개인정보 항목은 이름, 아이디, 비밀번호, 이메일, 연락처, 주소 등 총 6가지로 알려졌다. 윈윈소프트는 유출 사실을 인지한 후, 즉시 해당 IP와 불법접속 경로를 차단하고, 취약점 점검과 보완 조치를 했다고 밝혔다. 피해 최소화를 위해 비밀번호 변경을 당부했다. 구체적인 사건경위에 대해 말하지 않고 있으며, 유출 사실을 홈페이지 공지사항이 아닌 개인정보가 유출된 개인에게만 통지하고 있어 이용자들의 빈축을 사고 있다.

첨부파일 첨부파일이 없습니다.
태그 윈윈소프트  라자루스  Huawei  Cozy Bear