Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향[2019년 4월 17일] 주요 보안 이슈
작성일 2019-04-17 조회 494

1. [기사] 요즘 랜섬웨어 공격자들, 협박 편지에 피해 조직 이름 정확히 표기
[https://www.boannews.com/media/view.asp?idx=78731&page=1&kind=1]
사이버 공격자들이 PsExec라는 원격 관리 툴을 사용해 비트페이머(BitPaymer)라는 랜섬웨어를 설치하기 시작했다. 비트페이머는 이번 달 초 아리조나 베버리지(Arizona Beverage)라는 기업을 마비시킨 아이엔크립트(iEncrypt) 랜섬웨어와 비슷한 것으로, 생산업에 있는 회사가 주요 표적인 것으로 보인다. 현재까지 이 분야에 있는 회사 한 곳이 표적 공격을 당했으며 공격자들이 협박 편지에 해당 회사의 이름을 구체적으로 언급한 것으로 알려졌다. 보안 업체 트렌드 마이크로(Trend Micro)의 전문가들은 "공격자들이 백도어를 이용해 관리자 권한이 있는 계정을 먼저 침해한 후, 이를 통해 PsExec에 접근해 비트페이머를 설치했을 것"이라고 보고 있다. 분석에 의하면 PsExec를 통해 명령이 전달된 건 2019년 2월 18일이다. 트렌드 마이크로는 "여러 번 시도한 끝에 시스템 침해에 성공한 것으로 보인다"며 피해를 입은 기업이 탐지 및 대응 서비스를 활용하거나 보안 툴을 설치하고 운용하기만 했더라도 피할 수 있었던 사건이라고 설명했다. 한편 아직 해당 기업이 어디인지, 얼마나 큰 피해를 입었는지, 범인들이 협박 편지를 통해 요구한 금액이 어느 정도인지는 아직 공개되지 않고 있다.

 

2. [기사] Scranos: New Rapidly Evolving Rootkit-Enabled Spyware Discovered
[https://thehackernews.com/2019/04/scranos-rootkit-spyware.html]
지난해 말 처음 발견된 루트킷 멀웨어 Scranos가 끊임없이 기능을 개선하며 계속 활동 중인 것으로 밝혀졌다. 보안업체 비트디펜더(Bitdefender)는 해당 멀웨어가 비디오 플레이어, 드라이버, 백신 프로그램 등 정상적인 소프트웨어 또는 해적판 소프트웨어로 위장해 배포되며, 감염된 시스템을 강제로 중단시키고 디지털 서명된 루트킷 드라이버를 설치하여 살아남는다고 설명했다. 또한 감염 과정에서 정상 프로세스에 다운로더를 주입해 명령제어 서버와 통신하고 페이로드를 다운로드한다고 덧붙였다. 다운로드된 페이로드는 세 가지로, 각각 1) 아마존, 페이스북 등 유명 사이트의 자격 증명과 브라우저 검색 기록을 탈취하고, 2) 크롬 브라우저에 애드웨어 확장 프로그램을 설치해 사용자가 방문하는 모든 사이트에 악성 광고를 심으며, 3) 스팀 계정의 자격 증명과 설치된 게임 등의 정보를 공격자의 서버로 전송하는 기능을 수행하는 것으로 알려졌다. 비트디펜더의 전문가는 "Scranos가 전 세계를 대상으로 하지만 주로 인도, 브라질, 프랑스, 이탈리아, 인도네시아 등에서 발견되었다"며 사용자들의 주의가 필요하다고 설명했다.

 

3. [기사] Banking Trojan Emotet Now Targets Legitimate Email Chains to Deploy Malware
[https://latesthackingnews.com/2019/04/16/banking-trojan-emotet-now-targets-legitimate-email-chains-to-deploy-malware/]
뱅킹 트로이목마 이모텟이 오래된 이메일을 하이재킹, 해당 이메일 주소를 사용해 정상 사용자처럼 보이게 하는 새로운 전략을 채택했다. 해당 전략으로 악성 콘텐츠에 낚인 피해자들의 금융 정보가 탈취될 가능성이 더 높아진 것이다. 전문가들은 공격자들이 시스템에 이미 설치된 도구들을 사용해 탐지를 숨기는 '자급자족식 공격(Living off the Land)’ 기법을 활용했다고 설명했다. 또한 '__Denuncia_Activa_CL.PDF.bat'이라는 첨부파일을 통해 명령제어 서버에서 스크립트가 다운로드되는데, 해당 스크립트는 CVE-2018-20250으로 알려진 WinRar/Ace 취약점을 악용해 시스템에 멀웨어를 심는 역할을 한다고 덧붙였다. 시스템에 멀웨어가 성공적으로 주입되면 사용자의 금융 관련 정보들이 수집되어 서버에 전송되는 것으로 알려졌다. 한편 Seguranca Informatica의 연구원은 분석 결과 "감염된 장치의 언어 및 위치 정보를 확인해 스페인어를 사용하거나 칠레에 거주하는 사용자를 주로 공격하도록 하는 코드가 존재"하며 피해자들이 주로 칠레은행(Banco de Chile)과 같은 스페인어 기반 은행들에서 일하던 사람들이었다고 밝혔다. 전문가들은 오랜 기간 사용하지 않은 이메일들이 있다면 확인해보고 이메일에 첨부된 파일이나 링크는 주의할 것을 사용자들에게 당부했다.

 

4. [기사] 웹 브라우저의 ping 기능 남용한 새로운 유형의 디도스 공격
[https://www.boannews.com/media/view.asp?idx=78730&page=2&kind=1]
HTML5의 핑 기반 하이퍼링크 감사 기능을 남용한 새로운 유형의 디도스 공격이 발견되었다. 보안 업체 임퍼바(Imperva)의 비탈리 시모노비치(Vitaly Simonovich)와 디마 베커만(Dima Bekerman)은 "공격이 초당 7500개 요청을 기록할 만큼 대단위로 진행되었으며 4시간 동안 4000개 사용자 IP 주소들로부터 7천만 건의 요청을 전송"했으며 HTML5의 핑 관련 속성인 ‘ping=’을 남용했다고 설명했다. 해당 기능은 원래는 웹사이트 링크들의 클릭 현황을 추적하기 위한 것으로, 누군가 링크를 클릭하면 사용자에게는 보이지 않는 ‘ping=’ URL이 콘텐츠 변수로 전송된다. 해당 변수는 사이트 관리자들이 특정 웹사이트의 특정 링크로부터 얼마나 많은 사용자들이 유입되었는지 등을 확인할 때 사용한다. 두 전문가는 공격에 대해 "사용자가 조작된 웹 페이지를 방문하고 해당 사이트를 계속 열어두면 하이퍼링크 감사 핑이 지속적으로 전송되는 방식"이라 사용자가 악성 사이트를 계속 열어두어야 한다는 조건이 붙는다고 설명했다. 또한 해당 조건을 충족시키기 위해 소셜 엔지니어링과 멀버타이징 공격을 결합시켜 인기 있는 SNS에 악성 광고를 심었을 가능성이 높다고 덧붙였다. 임퍼바의 전문가들은 공격 방지를 위해 방화벽이나 WAF 등의 종단 장치에서 Ping-To나 Ping-From과 같은 내용이 포함된 HTTP 헤더들을 차단할 것을 권고했다.

 

5. [기사] 'NamPoHyu Virus' Ransomware Targets Remote Samba Servers
[https://www.bleepingcomputer.com/news/security/nampohyu-virus-ransomware-targets-remote-samba-servers/]
MegaLocker 바이러스라고 불리는 새로운 랜섬웨어가 다른 랜섬웨어들과는 다른 방식으로 공격을 수행하는 것으로 확인되었다. 랜섬웨어는 일반적으로 다른 멀웨어 또는 악성메일의 첨부파일을 통해 컴퓨터에 설치되고, 해당 컴퓨터를 암호화한다. 그러나 지난 3월 발견된 MegaLocker는 접근 가능한 삼바(Samba) 서버를 검색해 무차별 공격(Brute forcing) 기법을 통해 암호를 알아낸 후 파일을 원격으로 암호화한다. 해당 랜섬웨어는 암호화된 파일에 .crypted 확장자를 붙이고 !DECRYPT_INSTRUCTION.TXT라는 이름의 랜섬노트를 생성하는 것으로 알려졌다. 랜섬노트에는 alexshkipper@mail.ru에 연락하여 생일, 공휴일, 취미 또는 기타 개인 행사에서 찍은 사진을 보내라는 지침이 적혀있는 것으로 확인되었다. 전문가들은 해당 랜섬웨어를 복호화 할 수 있는 툴이 존재하지만, 전 세계에 약 오십만 개에 달하는 삼바 서버가 존재하는 만큼 사용자들의 주의가 필요하다고 권고했다. 한편, MalwareHunterTeam은 지난 16일 트위터를 통해 "랜섬웨어가 암호화된 파일에 .NamPoHyu 확장자를 붙이고, Tor 브라우저를 통해 접속 가능한 결제 링크를 추가했다"고 알렸다. 

첨부파일 첨부파일이 없습니다.
태그 비트페이머  Scranos  Emotet  NamPoHyu