Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향 [2019년 6월 3일] 주요 보안 이슈
작성일 2019-06-03 조회 486

1. [기사] 새 리눅스용 멀웨어 히든와습, 현존 백신 탐지율 0%
[https://www.boannews.com/media/view.asp?idx=80051&page=1&mkind=&kind=1&skind=D&search=title&find=]
최근 리눅스 시스템을 공격하는 새로운 멀웨어가 발견됐다. 이 멀웨어를 사용하면 공격자들에 원격에서 시스템을 제어할 수 있게 된다고 한다. 이 공격을 발견한 건 보안 업체 인테저(Intezer)로, 이 고급 리눅스 멀웨어에 히든와습(HiddenWasp)이라는 이름을 붙였다. 인테저는 히든와습의 코드는 대부분 고유하며 어디서 복사해온 흔적이 나타나지 않는다고 한다. 하지만 미라이(Mirai) 봇넷과 아자젤(Azazel) 루트킷 등의 모습이 조금씩 확인된다고 말했다. 또한 1) 사용자 모드 루르킷, 2) 트로이목마, 3) 최초 배포용 스크립트로 구성되어 있고 실험을 위한 목적으로 만들어진 것이라고 한다. 그 외에도 히든와습의 공격 사례에서 중국의 리눅스용 오픈소스 루트킷인 어도어응(Adore-ng), 아자젤 및 차이나제트의 엘크놋 등의 흔적이 나타났다고 밝혔다. 보안 전문가는 이 흔적이 중국의 해커들 사이에서 협업이 눈에 띄게 진행되고 있다는 의미로 해석된다고 언급했다. 


2. [기사] 2019년 1분기 최고의 악성 페이로드는? 단연 1위 이모텟
[https://www.boannews.com/media/view.asp?idx=80022&page=1&mkind=&kind=1&skind=D&search=title&find=]
뱅킹 트로이목마의 대표 격으로 알려져 있었지만 최근 봇넷으로 더 악명을 떨치고 있는 이모텟(Emotet) 멀웨어가 2019년 일사분기 최고의 악성 페이로드인 것으로 집계됐다. 해당 기간에 발견된 모든 멀웨어의 61%를 차지하고 있다. 보안 업체 프루프포인트(Proofpoint) 조사에 따르면, 2019년 일사분기 동안 악성 링크를 동반한 이메일 공격이, 악성 파일을 포함한 이메일 공격보다 5배 많았고 그러면서 이모텟이 확 늘어났다고 밝혔다. 최근 이모텟은 시스템 내에 침투한 뒤 추가 모듈이나 후속 멀웨어를 다운로드받는 역할을 담당하는 봇넷 멀웨어 유형이라고 한다. 한편 이모텟 외 다른 멀웨어들은 다음과 같은 비율로 줄어들었다. 1) 다운로더 : 11%  2) 탈취 멀웨어 : 8% 3) RAT : 7% 감소 이모텟은 26% 증가한편, 뱅킹 트로이목마의 경우 악성 페이로드 전체의 21%를 차지했다. 가장 활동적인 건 아이스드아이디(IcedID), 트릭(The Trick), 큐봇(Qbot), 어즈니프(Ursnif)였다. 이모텟이 봇넷 멀웨어로 바뀜에 따라 뱅킹 멀웨어의 비율은 크게 떨어졌다고 한다. 이메일을 통해 퍼지는 공격에서 이모텟과 뱅킹 멀웨어가 함께 차지하는 비율은 82%라고 한다. 


3. [기사] Dangerous GandCrab Ransomware Shutting Down its Operations after Earning $2 Billion in Ransom Payments
[https://gbhackers.com/gandcrab-ransomware-shutting-down/]
갠드크랩 랜섬웨어는 2018년 1월에 처음 발견되었으며, 제작자는 1년 동안 5개의 다른 버전을 출시했다고 밝혔다. 랜섬웨어는 악의적인 스팸 메일, 익스플로잇 키트, 사회 공학 공격 등의 방법을 이용해 배포됐다. 연구원 Damian이 조사한 결과 랜섬웨어 제작자는 평균 20만 달러의 몸값을 받았고 주당 평균 250만 달러를 벌었다고 한다. 즉, 연간 1억 5천만 달러 이상을 벌어들인 것이다. 랜섬웨어 각 버전의 특징은 다음과 같다. 갠드크랩 v1은 RIG EK를 이용하여 배포되며, 파일 암호화 및 .gdcb 확장자를 추가한다. v2는 스팸 전자 메일을 통해 배포되며, 암호화된 파일에 .CRAB 확장자를 추가한다. v3는 배경화면을 변경하는 기능이 추가됐다. v4는 CRAB 대신 .KRAB 확장자가 추가됐고 탐지를 피하기 위해 Tiny Encryption Algorithm을 사용한다. v5는 암호화된 파일에 5글자의 확장자를 추가하고 암호화 후 파일, 문서, 사진이 암호화되었음을 나타내는 HTML 랜섬 노트를 생성한다. 


4. [기사] ESET analyzes Turla APT’s usage of weaponized PowerShell
https://securityaffairs.co/wordpress/86449/apt/turla-powershell-attacks.html
러시아의 연계 APT 단체 단체인 투라(nake, Uroburos, Waterbug, Venomous Bear, KRYPTON)가 파워셸을 EU 외교관에 대한 공격에 활용하고 있다. 이전에 알려진 희생자 명단에는 스위스 국방 회사인 RUAG, 미 국무부, 미 중부사령부 등도 포함되어 있다. 투라는 최근 공격에서 동유럽의 외교 단체를 겨냥했다. 공격자들은 파워셸 스크립트를 사용하여 악성 실행 파일이 디스크에 삭제될 때 탐지되는 것을 우회했다고 한다. 이셋은 투라가 자주사용하는 방법으로 1) WMI(Windows Management Instrumentation)와 2) PowerShell profile 변경이 있다고 언급했다. 또한 두 경우 모두 레지스트리에 저장된 페이로드의 암호 해제에 3DES 알고리즘을 사용한다고 한다. 몇 주 전, 이셋 연구원들은 마이크로소프트 Exchange 메일 서버에서 투라가 심어 둔 백도어를 발견했고 이를 투라가 맞춤형 악성코드를 개발하고 있다는 증거라고 언급했다. 또한 파워셸 스크립트가 동유럽의 정치적 목표를 대상으로 사용되었고 같은 스크립트가 서유럽과 중동에서도 사용되고 있다. 


5. [기사] Microsoft Azure Being Used to Host Malware and C2 Servers
[https://www.bleepingcomputer.com/news/security/microsoft-azure-being-used-to-host-malware-and-c2-servers/]
마이크로소프트 Azure 클라우드 서비스가 사이버 범죄를 목적으로 사용되고 있다. 주로 사용하는 방식은 피싱 및 악성코드 명령 및 제어다. 올 5월 BleepingComputer는 Azure의 악성 프로그램 관련하여 두 가지 사건을 보고했다. 하나는 약 200개의 웹 사이트가 악의적인 목적으로 사용 중이라는 것과 Azure가 Office 365를 이용한 피싱 공격을 호스팅하는 데 사용된다는 것이다. AppRiver의 David Pickett은 Azure가 현재 마이크로소프트 서버에 있는 악성 소프트웨어를 감지하지 못하고 있다고 말했다. 연구원 JayTHL은 샘플이 명령 및 제어 서버에서 수신하는 모든 명령을 실행하는 단순 에이전트로 보인다고 설명했다. 또한 ID 번호가 순차적으로 생성될 경우 최대 90개의 봇이 관리 상태에 있을 수 있다고 판단했다. 연구원들은 Microsoft Azure는 악성 콘텐츠를 저장하는 데 악용되는 플랫폼이 아니지만, 악의적인 목적으로 사용되는 경우는 주의를 기울여야 한다고 마이크로소프트 측에 권고했다.

첨부파일 첨부파일이 없습니다.
태그 히든와습  이모텟  갠드크랩  투라  Azure