Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향[2019년 3월 18일] 주요 보안 이슈
작성일 2019-03-18 조회 652

1. [기사] 한국·중국·베트남 경찰 사칭 갠드크랩 랜섬웨어 조직의 정체는?
[https://www.boannews.com/media/view.asp?idx=77902&page=1&kind=1]
최근 우리나라 경찰청·지방 경찰서, 헌법재판소 등을 사칭한 악성 메일을 유포해 큰 피해를 입힌 갠드크랩 랜섬웨어 조직이 중국 공안부에 이어 베트남에서도 공공 보안부를 사칭하고 있는 것으로 드러났다. 지난 15일에는  'Min Gap Ryong'이라는 이름으로 중국 공안부를 사칭한 갠드크랩 랜섬웨어 첨부 메일이 중국 정부 공무원들을 대상으로 유포되어 실제 감염자들이 발생했고, 이에 중국 정부는 모든 정부부처 공무원들에게 안내 공지를 한 것으로 알려졌다. 이어 해당 공격 조직들은 공격 국가를 베트남으로 확장, 베트남 경찰 격인 공공보안부를 사칭해서 악성 메일을 유포 중인 것으로 밝혀졌다. 특히, 이번 베트남 공격에서 주목할 만한 점은 공격에 사용된 명령제어(C&C) 서버의 도메인이 ‘kakaocorp(.)link’로 카카오 피싱 사이트로도 사용되는 도메인을 썼다는 점이다. 이로 인해 해당 공격을 감행한 조직의 실체에 대해서도 관심이 높아지고 있으나 아직까지는 특정 조직을 지목할만한 정확한 증거가 나오지 않은 상태이다. 

 

2. [기사] Massive attacks bypass MFA on Office 365 and G Suite accounts via IMAP Protocol
[https://securityaffairs.co/wordpress/82480/hacking/imap-protocol-attacks.html]
다단계 인증(Multi-factor Authentication)으로 보호된 마이크로소프트 오피스 365와 G Suite 계정이 대규모 IMAP 기반 패스워드 스프레이 공격을 통해 해킹되었다. 이 해킹 기술은 기본 인증 IMAP 프로토콜이 다단계 인증을 우회한다는 점을 악용한 것으로 밝혀졌다. 또한 보안 전문 기업 Proofpoint는 최근 주요 클라우드 서비스 사용자들을 연구한 결과, 레거시 프로토콜과 사용자 인증 정보 덤프를 이용한 대규모 무차별 대입 공격을 발견했다고 밝혔다. 마이크로소프트 Office 365 및 G Suite 사용자의 약 60%가 IMAP 기반의 패스워드 스프레이 공격의 타깃이 되었으며 공격을 받은 사용자들 중 약 25%가 계정을 탈취당한 것으로 드러났다. 연구원들은 이번 공격이 주로 회사 임원 및 비서와 같은 공격 가치가 높은 사용자들을 노렸으며, 공격자들이 탈취한 클라우드 계정을 사용해 조직 내부에 피싱 메일을 보내고 악성 프로그램을 전파하는 방식으로 조직 전체를 감염시켰다고 밝혔다. 이러한 공격은 교육기관, 소매업, 금융업 등 다양한 분야의 회사들을 타깃으로 하고 있어, 사용자 교육을 포함한 지능적인 보안 대책 마련이 클라우드 서비스를 이용하는 해당 회사들에게 요구된다.

 

3. [기사] [긴급] 국세청 홈택스 사칭 해킹 메일 발견
[https://www.boannews.com/media/view.asp?idx=77901]
최근 국세청 홈택스를 사칭한 악성 메일이 발견되고 있어 사용자들의 각별한 주의가 요구된다. 한 보안 전문가에 따르면 해당 악성 메일은 ‘[2019년 3월 15일] 미지급 세금 계산서(은행 계좌 폐쇄 경고)’라는 제목으로 발송되었다. 해당 메일에는 국세청 전자[세금] 계산서라는 이름으로 한국 국세청이 세무 국·공공 세금을 사용해 발행한 전자 메일 인보이스라는 설명과 함께, 이 메시지가 수신된 경우 자세한 송장 확인을 위해 첨부파일을 클릭할 것을 유도하고 있다. 그러나 해당 메일은 최근 유포된 바 있는 송장·인보이스 사칭 악성 메일과 경찰청·법원 등을 사칭한 랜섬웨어 메일의 업그레이드 버전으로 확인되었다. 국세청 홈택스를 사칭함으로써 메일의 신뢰도를 더하고, 악성코드 감염 확률을 높이고자 한 것이다. 전문가들은 최근 이러한 사칭 공격이 늘어나고 있는 만큼, 경찰청·법원·국세청 등 국가기관에서 보낸 것으로 추정되는 메일의 첨부파일이나 링크는 절대 클릭하지 말고 전화 등으로 직접 사실 여부를 확인할 것을 당부했다. 

 

4. [기사] Hackers using steganography to Drop the Powload Malware & Hide Their Malvertising Traffic
[https://gbhackers.com/steganography-powload-malware/]
스테가노그래피(Steganography)를 이용하여 멀웨어 포우로드(Powload)를 유포하는 새로운 공격이 발견되었다. 포우로드는 주로 파일리스와 이메일 계정 하이재킹 공격을 통해 이모텟(Emotet)이나 어즈니프(Ursnif)를 유포하는 데 사용되며 2018년 처음 발견되었다. 전문가들은 파일리스 기법을 통한 공격이 쉽게 탐지되자, 공격자들이 탐지를 피하기 위해 새로운 방법을 고안한 것으로 보고 있다. 해당 기법에서 공격자들은 악성 스크립트를 PNG 파일의 픽셀에 담기 위해 Invoke-PSImage 툴을 사용한다. 그리고 악성 매크로 코드가 포함된 문서를 첨부한 스팸 메일을 대량으로 뿌린다. 다양한 사회 공학 기법에 속은 사용자가 첨부 파일을 다운로드하고 클릭하면, 파워셸 스크립트가 실행되고 악성 코드가 담긴 이미지가 피해자의 컴퓨터에 다운로드된다. 특이한 점은 파워셸 스크립트 내에 지역을 확인하는 명령어가 들어있어, 피해자의 컴퓨터가 대한민국이나 일본인 경우에만 악성코드가 실행된다는 점이다. 이번 공격은 주로 피해자의 민감한 정보를 도용하려는 목적을 가지고 있다. 하지만 연구자들은 포우로드를 통해 다른 악의적인 작업들도 얼마든지 수행할 수 있다며 사용자들의 각별한 주의를 요구했다.

 

5. [기사] Experts uncovered a malspam campaign using Boeing 737 Max crashes
[https://securityaffairs.co/wordpress/82500/cyber-crime/spam-boeing-737-max.html]
360 Threat Intelligence Center의 전문가들이 지난주 발생한 보잉 737 맥스8 여객기 추락 사고를 이용하여 멀웨어를 전파하는 멀스팸 공격을 발견했다고 밝혔다. 해당 악성 메일은 "Fwd: Airlines plane crash Boeing 737 Max 8" 등의 제목과 함께 여객기 추락 사고와 관련된 문서가 누출되었다는 본문 내용을 통해 사람들의 호기심을 자극한다. 만약 사용자가 해당 메일에 첨부된 "MP4_142019.jar" 파일을 다운로드해 열려고 시도하면, 사용자의 컴퓨터에서 JAVA가 실행되고 후디니(Houdini) 혹은 H웜(H-Worm)이라고 알려진 원격 접근 툴(RAT)과 애드윈드(Adwind)라는 트로이목마가 다운로드 되는 것으로 알려졌다. 보안 전문가들은 공격자들이 항상 당시의 헤드라인을 이용해 사람들의 관심을 끌어 공격을 유도한다며 사용자들의 각별한 주의를 요구했다.  

첨부파일 첨부파일이 없습니다.
태그 랜섬웨어  스테가노그래피  Powload