Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향[2019년 9월 27일] 주요 보안 이슈
작성일 2019-09-27 조회 456

1. [기사] 지난 주 발표된 iOS 13에서 서드파티 키보드 취약점 발견돼
[https://www.boannews.com/media/view.asp?idx=83266&page=1&kind=1]
iOS 13과 iPad OS에서 공격자가 서드파티 키보드를 통해 기기를 통제할 수 있게 해주는 버그를 발견했으며, 애플은 조만간 패치를 발표할 예정이다. 서드파티 키보드는 iOS에서 두 가지 모드로 사용된다고 애플은 설명했다. 첫 번째는 완전히 독립된 형태로, 외부 서비스에 접근할 수 있는 권한을 가지고 있지 않는다. 두 번째는 네트워크를 통해 모든 서비스에 완전히 접근할 수 있는 방식이며, 이번에 발표된 버그가 영향을 발휘하는 것은 서드파티 키보드가 두 번째 방식으로 연결되었을 때다. iOS 13에 대한 취약점 발표는 이번이 처음이 아니다. 얼마 전에는 스페인의 보안 전문가 호세 로드리게즈(Jose Rodriquez)에 의해 iOS 13 개발자 버전에서 잠금화면 우회 취약점을 발표했다. iOS 13 출시되기 전이었기에 애플은 해당 취약점을 패치하고 출시하였지만, 로드리게즈는 그동안 꾸준히 잠금 화면 우회 방법을 발표해왔는데, 계속해서 당한다는 건 애플이 보안에 무관심하다는 뜻이라는 비판했다.


2. [기사] New WhiteShadow Downloader Uses MSSQL Servers for Malware Delivery
[https://www.bleepingcomputer.com/news/security/new-whiteshadow-downloader-uses-mssql-servers-for-malware-delivery/]
여러 캠페인을 통해 제공되는 새로운 악성코드 다운로더는 탐지 회피 기술과 Microsoft SQL 쿼리를 사용하여 손상된 시스템에 악성 페이로드를 삭제한다. Proofpoint Threat Insight 팀의 연구자들에 의해 WhiteShadow라고 불리는 이 악성코드는 공격자가 통제하는 Microsoft SQL Server에서 다운로드받는 많은 악성코드에 대상을 감염시키기 위해 함께 작동하도록 설계된 Microsoft Office 매크로 세트의 형태로 만들어진다. WhiteShadow는 악성 URL 또는 Microsoft Word 및 Microsoft Excel 첨부 파일이 포함된 malspam 이메일을 통해 전송되며, 실행 후 악성 프로그램 페이로드를 설치할 다운로더의 Visual Basic 매크로를 번들로 묶는다. 처음에는 악성코드 제작자가 탐지를 막기 위한 조치를 추가하지 않았지만 이후 캠페인에서 코드 난독 화와 같은 다양한 탐지 회피 기술을 천천히 추가하기 시작했다. Proofpoint에 의해 탐지된 WhiteShadow 캠페인은 대부분 인도 군사와 외교 피해자들을 대상으로 한 Operation Transparent Trib에 사용된 또 다른 다운로더인 Crimmson 악성코드를 발견했다. 또한, 공격자는 Agent Tesla, AZORult, Nanocore, njRat, Orion Logger, Remcos, Formbook RATs, 다운로더 및 키로거 변종도 배포했다. 피해자가 WhiteShadow의 VBA 매크로가 포함된 Microsoft Office 문서 형식의 악성 메시지를 실행하면 매크로는 SQLOLEDB 커넥터를 사용하여 MSSQL 서버에 연결한다. 그런 다음 MSSQL 데이터베이스 내에 ASCII로 인코딩된 문자열로 저장된 악성코드를 다운로드하고 이를 해독하여 결과를 시스템의 하드드라이브에 PKZIP 아카이브로 기록한다. 공격을 방어하기 위해  방화벽의 최신 ACL 구성에서 차단되거나 최소한 제한되어야 하는 TCP 포트 1433에서 들어오는 악성 이메일과 아웃 바운드 트래픽을 모두 인식해야 한다고 말했다.


3. [기사] 은퇴한 갠드크랩 공격자들, 레빌 랜섬웨어 새로 만들어 활동
[https://www.boannews.com/media/view.asp?idx=83253&page=1&kind=1]
18개월 만에 20억 달러가 넘는 돈을 벌었기 때문에 더 이상 활동하지 않아도 된다며, 악명 높은 랜섬웨어인 갠드크랩(GandCrab)의 개발자들은 올해 ‘은퇴’를 발표했었다. 그러나 최근 보안 업체 시큐어웍스(Secureworks)가 갠드크랩의 배후 세력인 것으로 알려진 골드 가든(Gold Garden)이 레빌(REvil)이라는 새로운 랜섬웨어를 만들어 활동하는 것으로 보인다고 말했다. 레빌이 처음 세상에 모습을 드러낸 건 골드 가든이 은퇴를 발표하기 약 한 달 전쯤인 4월 중순이며, 레빌의 가장 큰 특징은 관리 대행 서비스 업체(MSP)와 같이 많은 사람이 영향을 받는 곳이 주요 대상으로 하여 최소한의 감염으로 최대한의 피해를 일으키는 전략을 구사하는 것이다. 또한, 레빌은 갠드크랩과 동일하게 대여 형태로 배포되는 랜섬웨어이며, 대여한 사용자들은 오라클 웹로직(Oracle WebLogic) 익스플로잇, 악성 스팸, 피싱 이메일, 침해된 MSP 등의 방법을 동원해 레빌을 유포한다. 시큐어웍스 연구원은 레빌의 초기 샘플이 갠드크랩의 복호화 기능, C2 URL 구축 방법과 로직이 일치하고, 러시아 시스템을 공격하지 않는다는 특징도 동일하다고 말했다. 시큐어웍스는 레빌을 조사하면서 배후에 있는 자들에 골드 사우스필드(Gold Southfield)라는 이름을 붙였으며, 골드 가든 공격자들이 은퇴한 이유로는 사법 기관들의 주목을 받으면서 시선을 돌리기 위한 목적으로 은퇴를 선언하고 갠드크랩을 버렸거나 골드 가든 내부 분열로 인해 골드 사우스필드가 분리되어 나온 것으로 추측했다.


4. [기사] REvil(Sodinokibi) Ransomware Targets Chinese Users with DHL Spam
[https://www.bleepingcomputer.com/news/security/revil-sodinokibi-ransomware-targets-chinese-users-with-dhl-spam/]
중국인을 대상으로 REvil(Sodinokibi) 랜섬웨어 설치를 꾀하는 신종 스팸 캠페인이 벌어지고 있다. 이 스팸 캠페인은 보안 연구원  onion에 의해 발견되었으며, 잘못된 세관 신고로 인해 소포 배달이 지연되었다는 DHL의 이메일인 것처럼 보인다. 그 다음 수신인에게 동봉한 "사용자 정의 문서"를 다운로드하여 올바르게 작성하고, 소포가 제대로 전달되기 위해서는 다시 보내야 한다는 사실을 통지한다. 첨부된 海关文件.zip 파일을 다운로드하여 압축을 풀면 DHL海关申报单.doc.exe라는 파일을 확인 할 수 있다. 해당 실행 파일은 REvil(Sodinokibi) 랜섬웨어이며 PowerShell을 사용하여 피해자의 섀도우 볼륨 사본을 즉시 삭제하여 다음 WMI 명령을 실행한다. 그런 다음 피해자의 파일을 암호화하고 암호화된 파일에 임의의 확장자를 추가한다. 윈도우에서 파일의 확장자를 숨기는 기본 설정을 공격자들은 유리하게 활용한다. 이번 공격에 사용된 실행 파일에서 확장자를 숨기며, Word 아이콘과 DHL海关申报单.doc 파일명을 보고 Word 문서라고 생각하며 해당 파일을 실행한다. 이러한 상황을 방지하기 위해 파일 확장명을 볼 수 있도록 설정할 것을 권장한다.


5. [기사] Microsoft Spots Nodersok Malware Campaign That Zombifies PCs
[https://www.zdnet.com/article/microsoft-new-nodersok-malware-has-infected-thousands-of-pcs/]
전 세계 수천 대의 Windows 컴퓨터가 감염된 시스템을 프록시로 변환하고 Click Fraud를 수행하기 위해 Node.js 프레임워크의 복사본을 다운로드하여 설치하는 새로운 종류의 악성코드에 감염되었다. Nodersok(Microsoft 보고서)과 Divergent(Cisco Talos 보고서)라는 이름의 이 악성코드는 여름에 처음 발견되어 사용자 컴퓨터에 HTA (HTML Application) 파일을 강제로 다운로드하는 악성 광고를 통해 배포되었다. HTA가 실행되면 Excel, JavaScript, PowerShell 스크립트가 포함된 다단계 감염 프로세스를 시작하고, 해당 스크립트는 Nodersok 악성코드를 다운로드한다. 악성코드 자체에는 각각 고유한 역할을 가진 여러 구성 요소가 있으며, Windows Defender 및 Windows Update를 비활성화하는 PowerShell 모듈과 악성코드의 권한을 SYSTEM 수준으로 높이기 위한 구성 요소가 있다. 또한, 합법적인 앱인 WinDivert와 Node.js를 사용하여 감염된 호스트에서 SOCKS 프록시를 시작한다. 하지만 여기서 Microsoft는 악성 코드가 감염된 호스트를 프록시로 전환하여 악성 트래픽을 중계한다고 주장하는 반면, 시스코는 이러한 프록시는 Click Fraud를 수행하는 데 사용된다고 말한다. 마이크로소프트에 따르면 Nodersok은 이미 지난 몇 주 동안 수천 대의 기계를 감염시켰으며, 미국과 EU에 기반을 둔 사용자들에게 발생했다고 말했다. 감염을 방지하기 위해 가장 좋은 방법은 특히 파일의 정확한 출처를 모르는 경우 컴퓨터에서 찾은 HTA 파일을 실행하지 않는 것이다. 

첨부파일 첨부파일이 없습니다.
태그 iOS13  WhiteShadow  Gold Southfield  REvil  Nodersok