Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향[2019년 12월 5일] 주요 보안 이슈
작성일 2019-12-05 조회 351

1. [기사] 북한 추정 해커조직 김수키, 청와대 행사 사칭해 사이버공격 시도
[https://www.boannews.com/media/view.asp?idx=84974&page=2&kind=1]
북한 추정 해커조직인 김수키(Kimsuky)가 청와대 행사 관련 문서를 사칭해 사이버공격을 시도한 정황이 발견됐다. 보안전문업체 이스트시큐리티 시큐리티대응센터(이하 ESRC)에 따르면 3일 ‘베트남 녹지원 상춘재 행사 견적서.hwp’라는 제목의 한글 문서 파일을 사칭한 APT(지능형 지속 위협) 공격이 감행된 것으로 드러났다. 첫 번째 확장자는 hwp 문서형식이지만, 다수의 공백을 포함한 2중 확장자로 실제로는 exe 실행 파일 형식을 띠고 있다는 게 ESRC 측의 설명이다. 이번 악성 파일이 정치·사회적인 이슈를 활용한 사회공학적 APT 공격에 사용된 것으로 추정되며, ESRC는 이번 공격 주체가 한국수력원자력 공격 배후로 지목된 김수키 그룹으로 최종 분류했다. 더불어 이번 공격이 지난 1월 20일 보고된 바 있는 ‘일요일 수행된 APT 변종 공격, 오퍼레이션 페이크 캡슐(Operation Fake Capsule) 주의’ 공격 캠페인의 연장선이라는 것이 드러났고, ESRC에서는 이번 APT 공격을 ‘오퍼레이션 블루 에스티메이트(Operation Blue Estimate)’로 명명했다.


2. [기사] 일부 악성 직원들, 다크웹에서 부업 활동 벌이고 있다
[https://www.boannews.com/media/view.asp?idx=84976&page=2&kind=1]
다크웹 조사를 전문적으로 하는 보안 전문가들이 최근 다크웹에서 나타나는 트렌드를 공개했다. 여러 기업과 기관의 정식 직원들이 개인적인 수익을 위해 조직의 정보를 다크웹에 판매하는 경우가 늘어나고 있다는 것이다. 보안 업체 인트사이츠(IntSights)의 사이버 위협 첩보 분석가인 채러티 라이트(Charity Wright)에 의하면 암시장의 브로커들과 결탁해 조직의 정보를 판매하는 사람들이 증가하고 있으며 주로 러시아어로 된 포럼에서 이런 일이 벌어지고 있고, 금융 관련 정보들이 주로 거래된다고 한다. 다크웹을 드나드는 직원중 금융 산업 종사자들이 현재는 조금 더 유리한 거래를 하고 있으며, 은행 내부자의 경우 브로커들이 다른 산업 종사자들보다 10배 넘는 조건을 제시하기도 한다. 최근 이러한 악성 내부자들과 브로커들이 가장 많이 나타나는 곳은 다크 머니(Dark Money)라는 포럼이며, 주로 은행 정보가 은밀히 거래되는 곳이다. 이런 현상은 아직 영어권 포럼에서는 그리 가시적으로 드러나지는 않고 있다. 조직 내 정보를 판매할 의향이 있는 구성원이라고 하더라도, 대놓고 다크웹에서 거래처를 찾지 않는다. 아마 영어권 보안 전문가들과 사법 기관들이 다크웹을 활발히 드나들며 조사한다는 걸 알고 있기 때문인 것 같다고 전문가는 말했다. 그러나 (이번 보고서에서도) 확실히 밝히지 못한 것이 남아 있다. 바로 내부자라고 자칭하는 사람들이 진짜 정상 직원인지 아니면 특정 조직에 침투하는 데 성공한 또 다른 해커인지 구별되지 않았다는 것이다. 둘은 전혀 다른 해결 방법을 가지고 있는 문제고, 따라서 이 현상에 대한 접근법이 자칭 내부자들의 진정한 정체에 따라 달라져야 할 것이다. 


3. [기사] 서방 세계에서만 돌다가 일본까지 덮친 트릭봇, 곧 한국도?
[https://www.boannews.com/media/view.asp?idx=84972&page=2&kind=1]
악명 높은 뱅킹 트로이목마인 트릭봇(Trickbot)이 현재 코드 수정 과정을 거치고 있는 것으로 나타났다. 트릭봇 운영자들이 연말연시를 맞아 대규모 공격을 준비하고 있는 것으로 보이며, 그 징조가 현재 일본에서 주로 나타나고 있다고 한다. 트릭봇은 주로 영어를 모국어나 공용어로 사용하는 서양 국가들에서 피해를 일으켰으며, 그 외 지역에서의 피해가 아주 없던 것은 아니나, 미비한 수준이었다. 따라서 현재 트릭봇이 일본에서 기승을 부리고 있다는 건, 트릭봇 공격이 새로운 양상을 띠기 시작했다고 해석해도 될 만한 부분이다. 일본의 조직들을 겨냥한 트릭봇 공격은 주로 악성 스팸메일로부터 시작한다. 이메일에 속은 사용자는 이모텟(Emotet)이란 봇넷을 다운로드 받게 되고, 이 이모텟으로부터 재차 트릭봇을 허용하게 된다.  또한, 은행 웹사이트를 겨냥한 웹 주입 공격도 확인되며, 이 경우 은행 입출금 관련 사기로 이어지거나 사용자가 거래 시 입력하는 각종 정보를 훔쳐낸다. 그리고 이모텟에서 트릭봇으로 이어지는 공격 사슬은 대부분 류크 랜섬웨어로 마무리되어왔기 때문에 해당 트릭봇이 류크(Ryuk) 랜섬웨어로 변모할 수 있다는 것도 염두에 두어야 한다. 


4. [기사] Two malicious Python libraries were stealing SSH and GPG key
[https://securityaffairs.co/wordpress/94715/hacking/malicious-python-libraries.html]
Python 보안 팀은 감염된 개발자의 프로젝트의 SSH 및 GPG 키를 훔친 PyPI(Python Package Index)에서 2개의 오염된 Python 라이브러리를 제거했다. 'python3-dateutil' 및 'jeIlyfish' 라이브러리는 모두 동일한 개발자(olgired2017)가 개발했으며 합법적인 앱과 유사한 이름을 가지고 있다. python3-dateutil라는 이름은 dateutil 라이브러리를 모방했으며, jeIlyfish(첫번째 L은 I)는 jellyfish 라이브러리를 모방했다. jeIlyfish 라이브러리는 악성코드를 포함하지만 python3-dateutil 라이브러리는 악성코드가 포함되어 있지 않지만, jeIlyfish 라이브러리를 가져오는 것으로 나타났다. 오염된 라이브러리는 피해자의 컴퓨터에서 SSH 및 GPG 키를 추출하여 포트 32258에서 IP 주소가 68.183.212.246인 서버로 전송한다. 


5. [기사] Talos experts found a critical RCE in GoAhead Web Server
[https://securityaffairs.co/wordpress/94692/hacking/goahead-rce.html]
Cisco Talos의 전문가는 GoAhead 내장 웹 서버에서 중요한 원격 코드 실행 결함을 포함한 두 가지 취약점을 발견했다. CVE-2019-5096으로 추적된 첫 번째 취약점은 버전 v5.0.1, v.4.1.1 및 v3.6.5의 기본 GoAhead 웹 서버 응용 프로그램의 multi-part/form-data 요청이 처리되는 방식과 관련이 있다. 인증되지 않은 공격자는 이 결함을 악용하여 사용 후 사용 조건을 트리거하고 특수하게 조작된 HTTP 요청을 보내 서버에서 임의의 코드를 실행할 수 있다. 해당 보안 결함은 CVSS 점수 9.8로 지정되었다. CVE-2019-5097로 추적된 두 번째 취약점은 인증되지 않은 공격자가 특수하게 조작된 HTTP 요청을 보내 서비스 거부(DoS) 상태를 유발하도록 악용될 수 있다. Talos는 이 결함을 8월 EmbedThis에 보고했으며, 11월 21일에 이를 해결했다. 

첨부파일 첨부파일이 없습니다.
태그 Kimsuky  Trickbot  dateutil  jellyfish  GoAhead