Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향[2019년 4월 1일] 주요 보안 이슈
작성일 2019-04-01 조회 1032

1. [기사] Exodus, a government malware that infected innocent victims
[https://securityaffairs.co/wordpress/83102/breaking-news/exodus-malware-google-play.html]
'국경 없는 보안(Security Without Borders)'이라는 단체가 공식 구글 플레이 스토어에서 정부 소행의 스파이웨어 어플들을 발견했다고 밝혔다. 해당 스파이웨어는 명령제어 서버의 이름을 따 엑소더스(Exodus)라고 이름 붙여졌다. 연구원들은 약 2년간 구글이 탐지하지 못한 악성 어플들이 20개에 달하며, 감시 카메라를 주로 생산하는 eSurv라는 업체에서 이탈리아 정부에게 판매한 것으로 추정된다고 밝혔다. 또한 엑소더스가 제대로 개발되지 않아 무고한 희생자들을 타겟으로 감시 활동을 했을 수도 있다고 덧붙였다. 이탈리아 현지 이동 통신사가 배포하는 광고, 기기 성능 향상 어플 등으로 변장한 엑소더스는 2단계 스파이웨어이다. 1단계에서 장치를 감염시키고 "CheckValidTarget"라는 기능을 통해 전화번호와 IMEI를 확인하여 타겟 여부를 파악한다. 타겟이라고 판별될 때만 2단계로 넘어가야 하는데, 장치 감염 후에 무조건 2단계로 넘어가도록 구현되어 있었다. 2단계에서 엑소더스는 음성녹음, 인터넷 사용 기록, 위치 정보, 메신저 로그 등 민감한 정보들을 서버로 전송한다. 결국 공격자가 지정한 타겟이 아닌 이들의 정보도 유출되는 것이다. 연구원들은 현재 구글이 해당 어플들을 모두 삭제한 상태지만 언제 또 비슷한 어플들이 구글 플레이 스토어에 올라올지 모른다며 사용자들의 주의를 요구했다.

 

2. [기사] 한국 대형 포털에 가짜 로그인 페이지가? 워터링 홀 비상
[https://www.boannews.com/media/view.asp?idx=78256&page=2&kind=1]
보안 업체 트렌드 마이크로(Trend Micro)가 한국의 인기 검색엔진을 포함한 웹사이트 네 곳을 침해한 워터링 홀 캠페인 술라(Soula)를 발견했다. 트렌드 마이크로는 이번 캠페인이 보다 큰 규모의 공격을 위한 초기 작업일 가능성이 높다고 설명했다. 연구원들은 발견된 4개의 웹사이트는 전부 자바스크립트가 삽입된 상태였으며 정확히 알 수는 없지만 패치되지 않은 취약점을 악용한 것으로 보인다고 밝혔다. 주입된 악성 자바스크립트는 1) 방문자의 프로파일을 만들고, 2) 가짜 로그인 화면을 로딩한 후, 3) HTTP 참조자 헤더 문자열을 스캔해서, 4) 키워드를 기반으로 방문자가 실제 사람인지 봇인지 확인한다. 그리고 5) 방문자의 장비와 OS를 식별하고, 6) 배경에 남아 사용자가 6번 방문할 때까지 아무 일도 하지 않다가, 6번째 방문 때에 맞춰 스푸핑 된 로그인 양식을 로딩한다. 연구원들은 코드에서 중국어를 발견했으며 최근에는 난독화 기술이 추가되었다고 밝혔다. 또한 아직 패치하지 않은 취약점이 있다면 서둘러 패치를 하고, 이중인증 옵션을 추가하여 술라 캠페인에 대해 대비할 것을 권고했다.

 

3. [기사] 빗썸에서 사라진 암호화폐, 비정상적 출금인가? 해킹인가?
[https://www.boannews.com/media/view.asp?idx=78272&page=1&kind=1]
지난 29일 국내 최대 암호화폐 거래소 빗썸에서 대량의 암호화폐가 사라졌다. 빗썸 측은 회사 보유분인 암호화폐 일부가 비정상적으로 출금되었으며 내부자의 소행으로 보인다고 밝혔다. 현재까지 점검 결과 외부 침입 흔적이 전혀 발견되지 않았다는 것이다. 또한 최근 전사적인 비용 절감과 전직 지원을 통한 희망퇴직 실시 등을 이유로 회사에 불만을 갖거나, 퇴직하면서 한 몫을 노린 일부 직원이 이와 같은 행위를 저질렀을 가능성이 크다는 것이 회사 측의 설명이다. 그러나 이러한 빗썸의 발표에도 불구하고, 최근 일주일 새 국내외 암호화폐 거래소 3곳에서 암호화폐가 연이어 탈취된 것으로 드러나면서 연쇄적인 해킹 공격 가능성도 배제할 수 없다는 의견이 제기되고 있다. 암호화폐 이오스(EOS) 모니터링 업체인 EOS Authority는 빗썸에서 탈취된 것으로 보이는 이오스 150억원 어치가 해외 암호화폐 거래소 11곳으로 분산되어 처리되고 있다며, 내부자 소행이라고 단정짓기에는 암호화폐 탈취부터 분산판매까지 너무 치밀하게 진행되고 있다고 밝혔다. 빗썸은 피해 규모 파악을 위해 원화 입출금 서비스를 제외한 거래 서비스와 암호화폐 입출금 서비스를 중단한 상태이다. 

 

4. [기사] Espionage Group Aka Apt33 Targeting Various Organization in Saudi Arabia and US by Deploying A Variety of Malware In Their Network
[http://www.ehackingnews.com/2019/03/espionage-group-aka-apt33-targeting.html]
이란 정부와 관련이 깊어 보이는 사이버 해킹 단체인 엘핀(Elfin) 혹은 APT33이 사우디아라비아와 미국을 겨냥하여 공격을 시도하고 있는 것으로 알려졌다. APT33은 2015년 후반기에 발견된 사이버 정찰 단체로 정부 기관, 연구 기관, 화학 산업, 엔지니어링 산업, 컨설팅 업체, 금융 기관, 생산 시설, 통신 산업을 집중적으로 노린다고 알려져있다. 최근 발견된 공격들 중 42%는 사우디아라비아를, 34%는 미국의 여러 조직들을 겨낭한 것으로 확인되었다. APT33을 주로 모니터링하고 있다는 시만텍의 한 보안 연구원은 "지난 3년 동안 18개의 미국 조직들이 APT33의 공격을 받았으며 엔지니어링, 연구, 화학, 에너지, IT, 금융, 의료 산업이 고루 피해를 입었다”고 밝혔다. 또한 공격자들이 대형 공급망을 노리고 공격을 시도한 흔적도 발견했다고 덧붙였다. 한 번은 미국의 큰 조직이 이들에게 당했는데, 같은 달에 그 회사가 중동에 소유하고 있는 회사도 공격 받았다는 것이다. 연구원은 또한 APT33이 최근에는 윈라(WinRAR)라는 압축 프로그램에서 발견된 취약점을 즐겨 사용하여 공격하고 있다며, 기업 관계자들의 주의를 당부했다.

 

5. [기사] Emotet Malware Mass Attack Drops Nozelesn Ransomware on Enterprise Endpoint Systems Via Word Documents
[https://gbhackers.com/emotet-malware-mass-attack/]
악성 워드 문서를 통해 Nozelesn 랜섬웨어를 배포하는 이모텟(Emotet) 악성코드 공격이 증가하고 있다. 지난 1월부터 2월 새에만 만 사천 건에 달하는 이모텟 악성 메일이 탐지되었을 정도다. 보안 업체 트렌드 마이크로는 공격자들이 "latest invoice", "shipping details", "wire sent out today", "urgent delivery" 등의 문구로 사용자들이 첨부문서를 열어보도록 유도한다고 밝혔다. 연구원은 사용자가 문서를 열면 1) 파워셸이 실행되어 다양한 IP의 원격 서버에 연결하고, 2) 942.exe와 Indexerneutral.exe라는 파일을 생성하여 3) 나이마임(Nymaim)과 유사한 악성 페이로드를 통해 Nozelesn 랜섬웨어가 사용자의 컴퓨터에 다운로드된다고 설명했다. 또한 매번 새로운 명령제어(C&C) 서버에 접속하여 자체 업데이트를 계속 다운로드하는 특징을 보인다고 덧붙였다. 전문가들은 언제나 그렇듯 의심되는 이메일은 바로 삭제하고, 절대로 본문을 확인하거나 첨부파일을 다운로드해 실행해서는 안 된다며 사용자들의 각별한 주의를 요구했다.

첨부파일 첨부파일이 없습니다.
태그 Exodus  Soula  Apt33  이모텟