Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향[2019년 8월 6일] 주요 보안 이슈
작성일 2019-08-06 조회 622

1. [기사] ‘금성121’ APT 조직, 스테가노그래피 기법 활용…PC와 스마트폰 동시 공격 수행
[https://www.dailysecu.com/news/articleView.html?idxno=61086]
해킹 그룹 '금성121(Geumseong121)'이 한국의 탈북민 지원 관련 대상자를 겨냥해 복합적 APT공격을 수행하는 정황을 포착했다. 이번 공격의 특징은 윈도우 운영체제 및 안드로이드 스마트폰을 동시에 노렸다는 점이다.  또한, 공격자는 JPG 이미지 파일로 위장해 악성코드를 은밀하게 삽입하는 '스테가노그래피(Steganography)' 기법을 APT 공격에 활용하고 있는 것으로 확인됐다. 그리고 악성코드를 타깃에게 전달하기 위해 스피어 피싱 공격 벡터를 활용하지만, 기존처럼 이메일에 악성 파일을 첨부하거나 본문에 직접적인 악성 링크를 포함하진 않았다. 보안탐지를 우회하기 위해서 텍스트 파일을 첨부했고, 그곳에 다운로드할 수 있는 악성 단축 URL을 포함하는 치밀함을 보였다. 이번 공격에 사용되었던 악성 파일은 '금성121 정부기반 APT그룹, '코리안 스워드(Operation Korean Sword) 작전' 수행 중' 코드와 상당 부분 동일하고, 악성앱은 금성121 조직에서 수행한 작전명 'Blackbird'에서 활용한 악성 앱들과 일부 유사한 코드가 발견되었다.


2. [기사] ‘납세서’ 이메일 열었다간 PC 정보 탈취당한다
[https://www.boannews.com/media/view.asp?idx=82004]
납세서’ 송장으로 위장한 악성 이메일이 국내 기업에 복수로 전파된 정황이 확인돼 사용자들의 주의가 필요하다. 이번에 발견된 악성 메일은 한국 도메인에서 발송되어 유포되고 있으며, 피싱 메일에는 ‘첨부 된 납세서 송장보기’라는 내용과 마지막에 ‘감사’라는 멘트로 보아 다소 어눌한 한국어 표현 사용한 것이 특징이다. 악성코드 최종 기능은 Wacatac 계열의 봇(RAT)이며, 정상 프로세스에 악성코드를 인젝션한 후 사용자 PC의 정보를 탈취한다. 따라서 출처가 불분명한 사용자에게서 온 메일인 경우 메일에 포함된 첨부파일 다운로드를 지양해 주시기 바라며, 파일을 실행하기 전에는 백신 프로그램을 이용하여 악성 여부를 확인 달라고 이스트시큐리티 시큐리티대응센터(ESRC)는 경고했다.


3. [기사] Russian APT Abuses IoT Devices to Infiltrate Corporate Targets
[https://www.bleepingcomputer.com/news/security/russian-apt-abuses-iot-devices-to-infiltrate-corporate-targets/]
Microsoft 보안 연구원들은 러시아 해킹 그룹이 대중적인 IoT 기기를 손상시켜 기업 네트워크 내에서의 발판을 마련했다. 또한, 이번 공격은 전 세계 정보를 겨냥한 수많은 사이버 캠페인과 연계되어 있는 APT 그룹 STRONTIUM (Fancy Bear or APT28)의 소행으로 분석됐다. 기업 IoT 기기를 성공적으로 해킹한 후 공격자는 네트워크 내의 다른 취약한 기계들을 간단한 스캔으로 손상시키고, 높은 가치의 데이터에 대한 액세스를 허용하는 상위 계정에 대한 권한을 획득한다. Microsoft Threat Intelligence Center는 C2 IP 주소 및 대상 회사 네트워크 내에서 지속성을 유지하는데 사용되는 전체 스크립트를 포함하여 STRONTIUM 활동을 관찰 및 분석한  IOC(Indicator of Indication)를 제공한다.

 

4. [기사] 미국 기업 겨냥한 피싱 공격에서 새로운 멀웨어 나와
[https://www.boannews.com/media/view.asp?idx=82005]
공급 처리 시설 분야에 있는 미국 기업들을 노리는 피싱 공격이 발견됐으며, 이 공격에 새로운 트로이목마 유형의 멀웨어가 동원되어 있다고 보안 업체 프루프포인트(Proofpoint)는 말했다. 공격에 사용된 피싱 이메일은 7월 19일과 7월 25일에 전송됐으며, 오피스 워드 문서가 첨부되어 있다. 이 워드 문서에는 악성 매크로가 포함되어 있고, 매크로 발동 후에는 룩백(LookBack)이라는 새로운 멀웨어가 설치된다. 루프포인트는 멀웨어를 분석해 다음 몇 가지 요소를 분석했다.
1) C&C 프록시 도구(GUP)
2) 멀웨어 로더(libcurl.dll), 셸코드를 실행할 수 있다.
3) 통신 모듈(SodomNormal)
4) 백도어 요소(SodomMain)


5. [기사] Virus Bulletin 연구원, 새로운 Lord exploit 키트 발견
[https://www.virusbulletin.com/blog/2019/08/virus-bulletin-researcher-discovers-new-lord-exploit-kit/]
웹 보안 제품에 대한 VBWeb 테스트에서 Adrian은 스스로 'Lord EK'라고 부르는 새로운 EK를 발견했다. Lord exploit kit는 Brad Duncan, Malware Traffic Analysis 웹 사이트 및 Malwarebytes의 Jérôme Segura에 의해 분석되었으며, 흥미롭게도 위협 행위자가 인터넷에서 로컬 서버까지 보안 터널을 만드는 'ngrok' 서비스를 이용하고 있다고 말했다. Lokibot 악성코드에 의해 사용되었지만, Exploit Kit에서 ngrok를 사용한 것은 이번이 처음으로 알려졌다.

첨부파일 첨부파일이 없습니다.
태그 금성121  STRONTIUM   Lord EK