Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향[2019년 1월 21일] 주요 보안 이슈
작성일 2019-01-21 조회 528

1. [기사] 주말 새벽, 북한 추정 APT 공격 발생...통일부 기자단 공격 연장선상 의심

[https://www.dailysecu.com/?mod=news&act=articleView&idxno=44554]

지난 1월 7일 월요일 새벽 1시 경 통일부 등을 출입하는 언론사 기자들의 이메일 대상으로 대규모 스피어 피싱 공격이 수행된 바 있었다. 이어 1월 20일 일요일 새벽 6시 경에 제작된 새로운 변종이 발견되었다. 이번 변종은 한국시간으로 1월 21일 새벽 6시 경에 코드가 제작된 것으로 설정되어 있었다. 또 공격조직은 마치 이스트시큐리티 알약 보안 모듈처럼 위장하는 공격벡터를 사용한 것으로 드러났다. 감염 시 C2 서버로부터 악성 파일을 다운로드 하는 것으로 보여진다. 공격자는 C2 서버에 Est 폴더를 생성해 수집된 정보 업로드와 다운로드 명령을 수행하도록 만들었다. 이스트시큐리티 측은 "공격자는 주로 이메일의 첨부파일을 통해 표적공격을 수행하고 있으며, 전혀 알지 못하는 이메일 아이디에서 수신되는 경우도 있지만, 발신자를 조작해 실제 최근에 이메일을 주고 받은 사람의 계정을 도용하거나 해킹해서 사용하는 경우가 있다는 점도 명심해야 한다" 라고 설명했다.

 

2. [기사] 온라인 사기 공격, 애플리케이션 층위에서 벌어진다

[https://www.boannews.com/media/view.asp?idx=76269&page=1&mkind=1&kind=1]

온라인 사기는 사이버 범죄의 한 종류로, 주로 애플리케이션 층위에서 발생한다. 기존에 ‘온라인 사기’로 분류되는 공격 유형에는 ‘사기성 거래’나 ‘아이덴티티 탈취’와 같은 것들이 있었다. 하지만 최근 온라인 사기 공격은 질적으로나 양적으로 더 다양해지고 있다. 애플리케이션에서 공격을 진행하면 온라인 사기꾼들이 가진 공격 성공의 기회가 더 커진다. 왜냐하면 정상적인 사용자들 사이에 섞여드는 게 더 쉬워지기 때문이다. 다양한 통신 프로토콜과 인터페이스를 지원하며, 최종 사용자들의 접근도 활발한 애플리케이션 층위는 공격 표면이 가장 넓다는 특징도 가지고 있다. 취약점은 애플리케이션 코드에도 있을 수 있지만 접근 통제 장치와 웹과 모바일 API들에도 있을 수 있다. 온라인 서비스나 애플리케이션에서 사용 가능한 기능들에 따라 달라지긴 하지만, 사기로 만들어진 계정들은 정상적으로 제공된 기능들 내에서 활동함으로써 탐지를 벗어날 수 있다. 온라인 사기 공격은 꽤나 광범위하게 펼쳐지는 게 대부분이고, 사기를 치기 위한 계정은 못해도 수백 개에서 수천 개씩 마련된다. 요즘 봇이 발달돼서 공격 스케일은 더 커졌다.

 

3. [기사] Ex-Employee Hacks WPML WordPress Plugin Site and Spams Users

[https://www.bleepingcomputer.com/news/security/ex-employee-hacks-wpml-wordpress-plugin-site-and-spams-users/]

지난 밤에 WPP (WordPress Multilingual Plugin) WordPress 플러그인 웹 사이트가 해킹 당했고 플러그인 사용자가 플러그인에 취약성이 있다는 이메일 수신을 받기 받았다. WPML에 따르면, 이것은 자신의 사이트에 백도어를 남긴 전직 직원이 원인이라 말하고 있다. WPML 개발자 아미르 헬저 (Amir Helzer)의 블로그 게시물에서 해킹 및 결과 스팸 전자 메일은 사이트에 백도어를 남긴 혐의로 전 직원이 보낸 것이라고 설명한다. Helzer는 계속해서 사이트를 업데이트하고 코드를 재구성했으며 2FA로 관리자 계정에 대한 액세스 권한을 확보했다고 전했다. Helzer는 WPML 플러그인이 안전하며 악용 사례를 포함하지 않았으며 지불 정보가 유출되지 않았다고 말하면서 침입자는 사용자의 계정 정보를 가지고 있다고 말했다. 이로 인해 모든 사용자가 자신의 암호를 재설정 할 것을 제안한다고 밝혔다.


4. [기사] Phishing Attack Allegedly Targeted US DNC After 2018 Midterms

[https://www.bleepingcomputer.com/news/security/phishing-attack-allegedly-targeted-us-dnc-after-2018-midterms/]

1 월 17 일에 제기 된 수정 된 불만에 추가 된 문서에 따르면, 러시아 정보 수집 조정 피싱 공격은 2018 년 중간 고사 직후 며칠 만에 민주당 전국위원회 (DNC)를 목표로 한 것으로 추정된다. DNC에 의해 밝혀진 바와 같이, 여러 링크는 11 월 피싱 공격의 배우를 Cozy Bear (또한 APT29, Office Monkeys, CozyCar, The Dukes, CozyDuke 또는 Grizzly Steppe로 분류 됨)라고 알려진 러시아 해커 그룹으로 추정하고 있다. ABC News 에 따르면 DNC의 법원 서류는 "2018 년 11 월에 러시아 정보 기관이 DNC 컴퓨터에 불법적으로 침투하려했을 가능성이있다"고 결론 지었다.


5. [기사] DarkHydrus APT Uses Google Drive to Send Commands to RogueRobin Trojan

[https://www.bleepingcomputer.com/news/security/darkhydrus-apt-uses-google-drive-to-send-commands-to-roguerobin-trojan]

DarkHydrus APT 그룹에 기인 한 새로운 악의적 인 캠페인은 공격자가 RogueRobin 트로이의 새로운 변종과 Google 드라이브를 대체 명령 및 제어 (C2) 통신 채널로 사용함을 보여준다. 이 그룹의 최신 활동은 중동 지역의 대상에 대해 관찰되었으며 악의적 인 VBA 코드 (매크로)로 묶인 Excel 문서로 위장하였다. 이 공격은 1 월 9 일에 360 TIC (360)의 Threat Intelligence Center (350 TIC) 연구원 이 처음 발견 했으며, 카스퍼 스키 랩이 Lazy Meerkat로 추적하는 DarkHydrus APT에 기인 한 것으로 추정됩니다. 중국 연구원은 악의적 인 문서의 매크로가 .TXT 파일을 다운로드 한 다음 합법적 인 'regsvr32.exe'응용 프로그램이이를 실행하는 데 사용됨을 확인하였으며, 몇 가지 단계가 더 진행되면 C #으로 작성된 백도어가 대상 컴퓨터에 드롭된다고 설명한다.

첨부파일 첨부파일이 없습니다.
태그