Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향[2019년 9월 2일] 주요 보안 이슈
작성일 2019-09-02 조회 587

1. [기사] A Look Inside the Highly Profitable Sodinokibi Ransomware Business
[https://www.bleepingcomputer.com/news/security/a-look-inside-the-highly-profitable-sodinokibi-ransomware-business/]
4월에 발견된 Sodinokibi (일명 REvil)는 랜섬웨어 비즈니스 및 보안 연구원의 사이버 범죄자들 사이에서 다산 적이면서 빠르게 명성을 얻으면서  상당한 수익을 올렸다 해당 랜섬웨어의 일부 피해자는 24만 달러를 지불했으며 네트워크 감염은 평균 15만 달러를 기록했다. 해당 수치는 최근 악성코드의 활동을 볼 때 놀라운 것이 아니며, 여러 MSP(Managed Service Providers)를 위태롭게 했다. 악성코드 연구가 Damian은 .4비트코인(~ 4,000 달러)만 내는 반면 일부는 26비트코인 또는 약 24만 달러를 지불하는 등 수익성이 높다는 것을 분명하다고 말했다. 또한, Sodinokibi 랜섬웨어의 배후 사업자들은 GandCrab RaaS(Ransomware as a Service)가 폐쇄된 직후 자사 소프트웨어를 배포할 계열사를 물색하기 시작했으며, 이는 현재 폐기된 GandCrab 운영의 관리자 또는 계열사와 연관성이 있을 수 있다는 것을 시사한다.


2. [기사] 안드로이드 기반 셋톱박스 노리며 퍼지는 새 봇넷 멀웨어 등장
[https://www.boannews.com/media/view.asp?idx=82650&page=2&kind=1]
훌루(Hulu), 넷플릭스(Netflix) 등의 동영상 서비스를 스트리밍하는 데 사용되는 안드로이드 기반 셋톱박스 수만 대가 멀웨어에 감염됐다. 사물인터넷 보안 전문 업체 웃클라우드(WootCloud)가 처음 발견한 이 현상은 현재도 확대되고 있으며, 문제의 봇넷에는 아레스 ADB(ARES ADB)라는 이름이 붙었다. 또한, 공격자들은 이 봇넷을 활용해 Brute Force, DDoS, 암호화폐 채굴 공격 등을 실시한다고 한다. 봇넷 멀웨어는 안드로이드 디버그 브리지(Android Debug Bridge, ADB)를 겨냥해 감염 기기 수를 늘리고 있으며, ADB 서비스는 대부분의 장비에서 인터넷에 무방비로 노출되어 있고, 인증 장치도 따로 설정되지 않은 경우가 대부분이다.


3. [기사] Google revealed how watering hole attacks compromised iPhone devices earlier this year
[https://securityaffairs.co/wordpress/90560/hacking/iphone-hacking-campaign.html]
Google Project Zero의 연구원들은 조작된 특정 웹 사이트 방문 시 iPhone 기기를 해킹 할 수 있다는 것을 발견했다. 올해 초 Google의 Treat Analysis Group(TAG)는 iPhone 해킹 캠페인을 발견했으며, 처음에는 iPhone 사용자에 대한 Watering hole 공격에 사용되는 제한된 수의 해킹 된 웹 사이트를 발견했다. 해킹된 사이트를 방문하는 것만으로 익스플로잇 서버가 장치를 공격하기에 충분했으며, 해당 사이트의 매주 방문자가 수천 명이라고 추정한다. Project Zero 연구원인 Ian Beer는 피해자들이 해킹당한 웹사이트를 단순히 Safari 웹브라우저로 방문하는 것만으로 스파이웨어에 감염됐다고 설명했다. 이는 iOS 기기를 손상시키고 권한 상승 문제를 이용하여 루트 액세스 권한을 얻기 위한 시도로 각 공격 체인에 대한 WebKit 공격이 촉발되었다. 


4. [기사] WordPress sites under attack as hacker group tries to create rogue admin accounts
[https://www.zdnet.com/article/wordpress-sites-under-attack-as-hacker-group-tries-to-create-rogue-admin-accounts/]
한 해커 그룹은 인터넷을 통해 WordPress 사이트에서 악성 관리자 계정을 만들기 위해 10개 이상의 WordPress 플러그인의 취약점을 악용하고 있다. 이번 공격은 지난달 시작된 해킹 캠페인의 확대 과정이다. 이전 공격에서 해커들은 동일한 플러그인의 취약성을 이용하여 해킹된 사이트에 악성코드를 심었으며, 해당 악성코드는 팝업 광고를 보여주거나 들어오는 방문객들을 다른 웹사이트로 이동시키기 위한 것이었다. 그러나 2주 전, 공격자가 전술을 바꾸었다. 사이버 보안 회사 Defiant의 Mikey Veenstra는 해킹된 사이트에 설치된 악성코드가 수정되었다고 말했으며, 사용자 계정을 만들 수 있는지 테스트하기 위한 기능이 추가되었다. 해당 악성 코드는 wpservices@yandex.com의 이메일 주소와 w0rdpr3ss의 암호를 사용하여 wpservices라는 새로운 관리자 계정을 만들었다.


5. [기사] Latest Sextortion Email Scheme Sent by ChaosCC Hacker Group
[https://www.bleepingcomputer.com/news/security/latest-sextortion-email-scheme-sent-by-chaoscc-hacker-group/]
성인 웹사이트에서 녹화하는 트로이 목마를 수신자의 컴퓨터에 감염시켰다고 주장하는 새로운 Sextortion Scam이 진행 중이다. 만약 해당 이메일을 받았다면, 이것은 사기라는 것과 어떠한 해커 그룹도 당신의 컴퓨터를 감염시키거나 성인 사이트를 사용하는 동안 동영상을 녹화하지 않았다는 것을 처음부터 아는 것이 중요하다. 해당 사건의 경우 메일에는 [보안 공지. 누군가 시스템에 액세스 할 수 있습니다.]라는 제목으로 전송되며, 비트코인으로 700$를 보내거나 동영상을 수신자의 모든 연락처로 전송한다고 작성되어 있다. 일부 수령인은 지정된 비트 코인 주소로 총 0.21568068 비트코인 또는 약 $ 2,000 USD로 3 번의 지불이 있었다. 이러한 이메일 중 하나를 수신하면 불안을 유발할 수 있지만, 항상 사기일 뿐이므로 해당 내용을 믿지 않아야 한다. 

첨부파일 첨부파일이 없습니다.
태그 Sodinokibi   ARES ADB  WordPress  Sextortion Scam