Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향[2019년 10월 30일] 주요 보안 이슈
작성일 2019-10-30 조회 497

1. [기사] Maze Ransomware Attacks Italy in New Email Campaign
[https://www.bleepingcomputer.com/news/security/maze-ransomware-attacks-italy-in-new-email-campaign/]
Maze 랜섬웨어가 이탈리아 국세청을 가장하여 이탈리아 사용자들을 대상으로 하는 새로운 스팸 캠페인을 진행하고 있다. Maze 랜섬웨어가 새로운 감염은 아니지만 지난달 새로운 캠페인 공격을 시작하고, 익스플로잇 킷과 파트너십을 맺었다. 그리고 실행 파일에는 연구원들을 대상으로 한 장난스러운 코멘트를 삽입하였다. 보안 연구원 JAMESWT에 따르면 이탈리아 국세청 또는 정부의 세금 및 수입 징수를 담당하는 Agenzia delle Entrate에서 온 것으로 가장한 스팸 이메일을 타깃으로 하고 있다고 말했다. 해당 이메일에는 'AGGIORNAMENTO : Attivita di contrasto all'evasione. Aggiornamento'라는 주제가 포함되어 있으며 'VERDI.doc'라는 워드 문서가 포함되어 있으며, 여기에는 비즈니스와 시민이 따라야 하는 새로운 지침이 포함되어 있다. 사용자가 첨부된 VERDI.doc을 열면 파일이 RSA 암호화를 사용하여 암호화되었으며 파일을 제대로 보려면 '콘텐츠 사용'이 필요하다는 메시지가 표시되며, 콘텐츠를 활성화하면 랜섬웨어를 C:WindowsTempwupd12.14.tmp 파일로 다운로드하고 실행하는 내장 매크로가 실행된다. 


2. [기사] Mysterious malware that re-installs itself infected over 45,000 Android Phones
[https://thehackernews.com/2019/10/remove-xhelper-android-malware.html]
지난 6개월 동안, 수백 명의 안드로이드 사용자가 안드로이드 기기에 숨겨져, 삭제 또는 기기를 초기화한 후에도 다시 설치되는 악성코드에 대해 온라인으로 불만을 제기했다. 시만텍이 발표한 보고서에 따르면 해당 악성코드는 Xhelper라고 불리며, 이미 45,000개가 넘는 안드로이드 기기를 감염시켰다. 시만텍 연구진은 Xhelper 악성코드에 대한 정확한 출처를 찾지 못했지만, 특정 브랜드의 안드로이드 기기에 미리 설치된 악성 시스템 앱이 실제로 악성코드를 다운로드한 것으로 의심했다. Xhelper는 일단 설치되면 일반 사용자 인터페이스를 제공하지 않고, 장치의 응용 프로그램 실행기에 표시되지 않는 응용 프로그램 구성 요소로 설치된다. 해당 악성코드가 실행되면 암호화된 채널을 통해 원격 C2 서버에 연결하고 손상된 Android 기기의 드롭퍼, 클릭커 및 루트킷과 같은 추가 페이로드를 다운로드한다. 현재 xHelper는 주로 인도, 미국 및 러시아의 Android 스마트 폰 사용자를 대상으로 하는 것으로 나타났다.


3. [기사] Facebook Sues Israeli NSO Spyware Firm For Hacking WhatsApp Users
[https://thehackernews.com/2019/10/whatsapp-nso-group-malware.html]
암호화된 메시징 서비스 제공자는 처음으로 사용자들을 상대로 악의적인 공격을 감행한 민간 기업에 대해 법적 조처를 하고 있다. 페이스북은 이스라엘 모바일 감시회사인 NSO그룹을 상대로 자사의 E2EE(End-to-End Encryption) WhatsApp 메시징 서비스의 사용자 해킹에 적극적이었다고 주장하며 20일 소송을 제기했다. 올해 초 WhatsApp은 중대한 취약점을 공격자들이 공격 대상 안드로이드와 iOS 기기에 페가수스(Pegasus) 스파이웨어를 원격 설치하기 위해 악용한 것으로 밝혀졌다. 해당 취약점 (CVE-2019-3568)을 통해 공격자는 전화가 응답하지 않은 경우에도 특수하게 조작 된 요청으로 WhatsApp 화상 통화를 함으로써 대상 전화에 스파이웨어 앱을 자동으로 설치할 수 있다. 또한, NSO 그룹이 개발한 페가수스는 문자 메시지, 이메일, WhatsApp 채팅, 연락처 세부 정보, 통화 기록, 위치, 마이크 및 카메라를 포함하여 피해자의 스마트 폰에서 원격으로 엄청난 양의 데이터에 액세스 할 수 있다.  NSO 그룹은 스파이웨어를 정부에만 판매한다고 주장하지만, WhatsApp의 Will Cathcart는 자사가 최근 WHATSAPP 사용자에 대한 공격에 NSO 그룹이 직접 관여한 증거를 가지고 있다고 말했다. 페이스북은 또한 NSO 그룹의 모회사인 'Q 사이버 테크놀로지스'를 이 사건의 두 번째 피고인으로 지명했으며, 그들이 미국과 캘리포니아의 법뿐만 아니라 이러한 유형의 남용을 금지하는 WhatsApp 서비스 약관을 위반했다고 주장했다. 


4. [기사] 이탈리아 최대 은행 유니크레딧, 2년 만에 또 고객 정보 유출
[https://www.boannews.com/media/view.asp?idx=84106&page=2&kind=1]
이탈리아의 은행인 유니크레딧(UniCredit)의 IT 시스템을 통해 데이터 침해 사고가 발생했으며, 수백만 명의 은행 고객들이 영향을 받았다. 은행 측에 따르면 2015년에 생성된 파일 중 300만 명의 이탈리아 고객들의 기록과 관련이 있는 것이 이번 사건과 관련이 있다고 했으며, 사이버 공격자들이 정확히 어떤 정보에 접근할 수 있었는지에 대해 상세히 밝히지는 않았다. 또한, 현재 해당 사건에 대해서 GDPR 감독 기구들도 수사에 참여한 것으로 알려졌다. 유니크레닛은 2016년 9월과 10월에도 약 40만 명의 고객이 피해를 보았으며, 사건이 발생하고 9개월이 지난 뒤 해당 사실을 확인했다. 금융 산업은 원래부터 사이버 범죄자들의 인기 높은 표적이며, 보안 업체 비트글래스(Bitglass)가 작년 발표한 바에 의하면 미국에서 대출 사업을 하는 조직들의 경우 타 조직들보다 세 배나 많은 보안 공격에 노출되었다고 한다. 그리고 은행을 비롯한 금융 기관들은 내부자의 위협도 거센 곳으로 알려져 있다.


5. [기사] Details for 1.3 million Indian payment cards available on the dark web, its the biggest single card database ever
[https://securityaffairs.co/wordpress/93139/deep-web/card-database-sale-dark-web.html]
싱가포르의 사이버 보안 회사인 Group-IB는 10월 28일 인도 은행 고객들의 총 130만 건 이상의 신용 및 직불 카드 레코드를 보유하고 있는 거대한 데이터베이스가 Joker's Stash에 업로드되었음을 발견했으며, 해당 데이터베이스의 지하 시장 가치는 거의 1억 3천만 달러에 이를 것으로 추정된다. 해당 데이터베이스에는 신용 및 직불 카드 덤프 트랙2만 포함되어 있었지만, 이름을 통해 트랙1과 트랙2를 모두 보유하고 있음을 암시한다. 또한, 트랙2 덤프는 더 많은 돈을 벌기 위해 복제된 카드를 만드는 데 사용될 수 있다. Group-IB의 Threat Intelligence 팀은 데이터베이스에서 모든 카드 덤프를 분석했으며, 이 중 98% 이상이 인도 은행 소속이며 1%는 콜롬비아 은행 소속이다. 

첨부파일 첨부파일이 없습니다.
태그 Maze   Xhelper  WhatsApp