Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향[2019년 5월 2일] 주요 보안 이슈
작성일 2019-05-02 조회 700

1. [기사] Windows Server hosting provider still down a week after ransomware attack
[https://www.zdnet.com/article/windows-server-hosting-provider-still-down-a-week-after-ransomware-attack/]

지난 4월 23일 랜섬웨어에 당한 미국의 웹 호스팅 업체인 A2 Hosting이 8일째 정상적인 서비스를 제공하지 못하고 있는 것으로 알려졌다. 전문가들은 랜섬웨어가 A2 Hosting의 싱가포르 데이터 센터를 통해 네트워크에 침투했으며 다른 윈도우 서버 인스턴스들로 확산된 것으로 추정되며, 감염 날짜와 .lock 확장자로 미루어 보아 글로브임포스터(GlobeImposter) 2.0 랜섬웨어의 변종으로 보인다고 밝혔다. 몇몇 고객들이 회사에서 모든 윈도우 서버를 강제로 종료하기 전에 .lock 확장자로 암호화된 파일들을 봤다고 제보한 것이다. 게다가 A2 Hosting 측에서 공격 이후 RDP 액세스 기능을 비활성화했다는 사실도 전문가들의 주장에 무게를 더하고 있다. 글로브임포스터가 RDP를 통해 설치된다고 알려진 랜섬웨어기 때문이다. 한편 감염 이후 회사 측에서 제대로 된 공지나 정보를 제공하지 않고 있어 사업에 지장이 생긴 고객들의 불만이 쇄도하고 있는 것으로 확인되었다.

 

2. [기사] 네이버 애드포스트 이용자 2,200명 개인정보 유출... 메일 삭제 논란까지 ‘곤혹’
[https://www.boannews.com/media/view.asp?idx=79186]

국내 최대 포털 사이트 네이버에서 개인 정보 유출 사고가 발생했다. 블로그 광고수익 서비스 '애드포스트'의 이용자들에게 블로그 수익에 대한 원천징수영수증을 발급하다가 이용자 2,200명의 개인 정보를 한꺼번에 발송한 것이다. 오발송된 메일에는 이용자 2,200명의 이름, 주소, 주민번호, 애드포스트 지급액 수입 등 개인 정보가 담겨 있던 것으로 확인되었다. 그런데 사고를 수습하던 네이버가 개인 메일함에 저장된 메일까지 일괄 삭제한 것으로 드러나 문제가 더 커지고 있다. 일부 유출 피해자들이 이미 읽은 이메일이 삭제되었다며 네이버의 메일 회수 또는 삭제 권한 범위에 대해 문제를 제기한 것이다. 네이버는 개인 정보 유출 피해를 최소화하기 위해 적극적으로 취한 조치였다고 밝혔지만, 개인 프라이버시 침해 논란을 피해 가기는 어렵게 되었다. 이와 별도로 개인 정보가 포함된 메일의 회수 조치가 늦어져 2차 피해가 우려된다는 주장도 제기되고 있어, 네이버가 이번 사고를 어떻게 해결할지 향후 귀추가 주목된다.

 

3. [기사] Emotet Trojan Now Uses IoT And Router Devices To Evade Detection
[https://hackercombat.com/emotet-trojan-now-uses-iot-and-router-devices-to-evade-detection/]

이모텟(Emotet) 악성코드가 취약한 IoT 장치와 라우터를 대상으로 하는 새로운 공격 캠페인을 시작했다. 보안 전문가들은 IoT 장치와 라우터가 명령제어(C&C) 서버와 말단 봇넷들(랩톱, 데스크톱 및 서버) 사이에서 데이터를 전송하는 역할을 맡게 되면, 실제 명령제어 서버를 추적하기가 더 힘들어지는 점을 노린 것이라고 설명했다. 악성 데이터의 전송 경로가 수천 명의 사람들이 주고받는 일반 데이터 전송에 의해 가려진다는 것이다. 전문가들은 "트래픽 리다이렉션을 통한 탐지 회피 시도"로 보인다고 추정했다. 실제로 최근 이모텟 트래픽 분석에서 새로운 샘플이 이전 버전과 다른 POST-감염 트래픽을 사용한다는 사실이 밝혀졌다. 라우터 같은 연결 장치들을 감염시켜 프록시 서버로 사용하려는 공격자들의 시도가 발견된 것이다. 한편 보안 업체 트렌드 마이크로는 명령제어 서버처럼 동작하는 몇몇 인스턴스들이 감염된 라우터로 밝혀진 사례가 늘고 있다며, 이모텟이 탐지를 우회하기 위해 여러 개의 더미 노드를 양산하는 것으로 보인다고 설명했다. 또한 이모텟이 주로 스팸 메일을 통해 감염되는 만큼 개별 사용자들의 각별한 주의가 필요하다고 덧붙였다.

 

4. [기사] 해커조직 금성 121, 대북관련 단체 인사 타깃 사이버공격
[https://www.boannews.com/media/view.asp?idx=79099]

지난 주말 대북 관련 단체의 주요 인사를 대상으로 스피어 피싱(Spear Phishing) 공격이 수행된 정황이 포착되었다. 보안 업체 이스트 시큐리티는 특정 정부의 지원을 받는 것으로 알려진 금성121 조직이 주말 동안 HWP 문서파일 취약점을 기반으로 한 APT 공격을 펼친 것을 확인했으며, 이번 공격은 별다른 설명이나 내용 없이 배포돼 수신자가 단순 호기심에 첨부파일을 열어보도록 유인하는 특이한 형태를 띠고 있었다고 설명했다. 또한 공격 벡터로 정상적인 배너 이미지 파일로 위장한 악성코드가 사용되었다는 점에서 착안해 사이버 작전명을 '블랙 배너(Operation Black Banner)'로 이름 지었다고 밝혔다. 아울러 이번 공격에 사용된 취약점이 이미 보안 패치가 완료된 것이라 문서 소프트웨어를 최신 버전으로 업데이트하는 것만으로도 공격을 예방할 수 있다며 사용자들의 주의가 필요하다고 덧붙였다.

 

5. [기사] Dark web crime markets targeted by recurring DDoS attacks
[https://www.zdnet.com/article/dark-web-crime-markets-targeted-by-recurring-ddos-attacks/]

정보통신 뉴스 매체인 지디넷(ZDNet)이 유명 다크 웹 마켓을 대상으로 한 DDoS 공격이 3개월째 이어지고 있다고 발표했다. 첫 피해자는 드림 마켓(Dream Market)으로 확인되었다. 지난달 드림 마켓의 운영자가 7주간 지속적인 DDoS 공격에 시달렸다며 4월 30일부로 서비스를 중단하겠다고 공지한 것이다. 운영자는 공격자가 400,000 달러를 지불하라고 협박했으며, 공격을 막기 위해 노력했지만 실패했다며 중단 이유를 설명했다. 또한 드림 마켓이 서비스 중단을 선언하자마자 엠파이어 마켓(Empire Market), 나이트메어 마켓(Nightmare Market) 등을 대상으로 한 DDoS 공격이 발생한 것으로 알려지면서, 공격자에 대한 추측이 난무하고 있다. 한 다크 웹 범죄 전문가는 돈을 노린 동일 공격자 또는 경쟁 업체를 무너트리려는 다른 마켓 운영자의 소행이라는 추측이 가장 그럴듯하다고 밝혔다. 전자와 후자 모두 비슷한 사례가 존재한다는 것이다. 그는 그러나 정부기관의 소행이라는 세 번째 가설에 대해서는 말도 안 되는 일이라고 단언했다.

첨부파일 첨부파일이 없습니다.
태그 GlobeImposter  금성121  Emotet  다크웹