Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향[2019년 12월 9일] 주요 보안 이슈
작성일 2019-12-09 조회 275

1. [기사] [긴급] 금융정보 탈취 ‘이모텟’ 악성코드, 피싱 메일 유포 ‘급증’
[https://www.boannews.com/media/view.asp?idx=85055&page=1&kind=1]
최근 피싱 메일을 통해 금융정보 탈취를 시도하는 ‘이모텟(Emotet)’ 악성코드가 대량으로 유포되고 있는 것으로 드러났다. 이스트시큐리티 시큐리티대응센터(ESRC)에 따르면 이번에 유포된 이모텟 악성코드는 업무 지원요청, 청구서, 견적서 등 다양한 형태의 피싱 메일로 유포됐으며, 이는 기존에 유포 방식과 매우 유사한 것으로 분석됐다. 이모텟 악성코드는 지난 9월부터 12월 현재까지 꾸준히 유포되고 있으며, 11월부터는 유입이 큰 폭으로 증가해 10월 대비 300% 이상 증가했다. 이모텟 악성코드를 유포하는 조직은 매우 유창한 한글 구사 능력으로 사용자들을 현혹하며, 주로 기업의 그룹 메일을 공격 타깃으로 하고 있다. 이모텟을 유포한 피싱 메일에는 워드 파일이 첨부되어 있으며, 이 워드파일 내에는 분석을 어렵게 하려는 쓰레기 코드와 함께 파워쉘을 실행하는 코드가 포함되어 있다. 만약 사용자가 피싱 메일에 포함되어 있던 첨부파일을 열어 매크로 기능을 활성화하면, 악성 파일에 포함되어 있던 파워쉘 코드가 실행되며, 그다음 명령제어(C&C) 서버에 접속해 이모텟(Emotet) 악성코드를 내려받게 된다. 이렇게 실행된 이모텟(Emotet) 악성코드는 사용자 PC에 자가복제 및 자동실행 등록을 하며, 로컬 PC 정보 탈취, 추가악성코드 다운로드 등의 악성행위를 수행한다. 


2. [기사] Vietnam-linked Ocean Lotus hacked BMW and Hyundai networks
[https://securityaffairs.co/wordpress/94805/hacking/ocean-lotus-hacked-bmw-hyundai.html]
독일 언론에 따르면 베트남과 연계된 APT Ocean Lotus(APT32) 그룹의 일원으로 의심되는 해커들이 자동차 제조업체 BMW와 현대차의 네트워크를 자동차 영업 비밀을 훔치는 것을 목표로 해킹했다고 말했다. Ocean Lotus Group으로도 알려진 APT32 그룹은 2012년부터 여러 산업과 외국 정부, 반체제 인사, 언론인들을 대상으로 활동해왔으며, FireEye의 전문가들은 2014년부터 베트남의 제조, 소비재 및 서비스 분야에 관심이 있는 외국 기업을 대상으로하는 APT32를 관찰했다. APT32는 워터링홀 공격을 통해 피해자에게 제공되는 캠페인에 Windows 및 Mac 악성코드를 모두 사용하고 정교한 기술을 사용하여 탐지를 피했으며, 최근 자동차 제조업체에 대한 공격에서 공격자는 대상 네트워크 해킹 도구인 Cobalt Strike를 배포했다. Cobalt Strike 플랫폼은 Adversary Simulations 및 Red Team Operations를 위해 개발되었지만 지난 몇 년 동안 APT29 및 FIN7을 포함한 위협 행위자에게 인기가 있다. 공격자들은 태국에서 BMW 지사로 지정된 웹 사이트를 구축했으며, 현대를 목표로 한 공격에도 비슷한 기술이 사용되었다. BMW와 현대는 BR 매스컴이 발표한 보고서에 대해 논평하지 않았다.


3. [기사] 북한의 라자루스, 작년부터 사용한 맥OS용 멀웨어 향상시켜
[https://www.boannews.com/media/view.asp?idx=85037&page=2&kind=1]
북한의 해킹 단체인 라자루스(Lazarus)가 만들거나 주로 사용하는 것으로 보이는 맥OS용 악성코드에 페이로드를 메모리 내에서 실행시키는 새로운 기능이 추가되어 악성코드를 탐지하는 게 더 힘들어질 전망이다. 라자루스는 작년 8월부터 갑자기 맥OS 환경에서 작동하는 악성코드를 활용하기 시작했고 2019년까지 맥OS를 겨냥한 공격이 이어지고 있다. 또한, 최근 라자루스는 가짜 암호화폐 거래소를 만들어 사용자들을 꼬드기거나, 암호화폐 거래 앱을 가짜로 만들어 퍼트리는 수법을 주로 활용했는데 최근에도 그 모습에는 변함이 없다. 최근 발견된 맥OS 악성코드가 활용된 공격은 먼저 라자루스가 새로운 웹사이트인 unioncrypto.vip를 만든다. 그리고 해당 사이트에 접속하면 104.168.167.16이라는 IP 주소로 연결되며, UnionCryptoTrader.dmg라는 악성 파일은 다운로드한다. 서명되지 않은 패키지 하나가 내포되어 있어 해당 dmg 내부에는 어떤 론치 데몬(launch daemon)을 지속적으로 설치하는 포스트인스톨 스크립트(postinstall script)가 포함되어 있다. 이를 성공적으로 실행시키기 위해서 공격자에게는 루트 접근 권한이 필요하며, 이를 얻기 위해 사용자더러 크리덴셜을 입력하라는 프롬프트 창을 띄우기도 한다. 이렇게 론치 데몬을 설치하는 것과 그 론치데몬의 plist와 바이너리가 애플리케이션의 자원 디렉터리에 숨겨진 채 저장되어 있는 것 모두 라자루스가 항상 보여오는 수법이라고 보안 전문가 패트릭 워들(Patrick Wardle)은 말했다. 여기까지 진행되는 동안 대부분의 사용자는 암호화폐 거래소에서 거래 앱을 설치한 것으로만 이해하고, 그러는 동안 악성코드는 시스템 정보를 수집하고 C&C 서버와의 통신을 시도한다. 이 시점까지는 라자루스가 전부터 사용해왔던 맥OS용 악성코드와 크게 다르지 않지만, 이전 버전과 이번 버전의 가장 큰 차이는 미리 다운로드되어 있던 페이로드를 ‘메모리에서’ 실행시킨다는 것이다. 


4. [기사] Russia-linked Gamaredon group targets Ukraine officials
[https://securityaffairs.co/wordpress/94792/apt/gamaredon-target-ukraine.html]
러시아와 연계된 Gamaredon 사이버스파이 그룹은 우크라이나의 외교관, 정부, 군 관계자을 목표로 하고 있다. 지난 6월, Cybaze-Yoroi의 악성코드 연구자들은 인기 있는 APT 그룹과 잠재적으로 연결된 새로운 의심스러운 활동을 발견했다. 해킹 캠페인은 Gamaredon 사업이 여전히 진행 중이며 동유럽 생태계, 특히 우크라이나의 생태계에 침투하는데 Kremlin의 관심이 높다는 것을 확인했다. Gamaredon 그룹은 2015년 시만텍과 TrendMicro에 의해 처음 발견되었지만, 2013년부터 활동해오던 것으로 추측된다. Gamaredon은 무기화된 문서를 사용하고 있으며, 공격자는 악성 VBA 매크로를 포함하는 문서 대신 템플릿 주입 기술을 사용한다. 미끼 문서가 열리면 백그라운드에서 실행되는 원격 위치에서 문서 템플릿 (.dot)이 자동으로 다운로드된다. 문서 템플릿(.dot)에는 백그라운드에서 실행되는 VBA 매크로가 포함되어 있으며 VBA 매크로는 VBScript 파일을 시작 폴더에 쓴다. 그리고 재부팅되면 VBScript 파일은 181340ms 동안 절전 모드로 전환된 후 실행되며, 재부팅시 VBScript는 HTTP GET 요청을 수행하여 동적 DNS 도메인에서 암호화된 단계를 가져온다. 그러나 감염된 대상이 2단계 페이로드에 합당하다고 판단한 경우에만 파일이 전송되며, 아닌 경우에는 파일 삭제가 진행되어 활동 증거를 제거한다. 


5. [기사] 해커원, 세션 쿠기 실수로 반출시켜 보안 보고서 노출
[https://www.boannews.com/media/view.asp?idx=85035&page=2&kind=1]
한 해커가 해커원(HackerOne) 고객을 위한 비공개 보안 보고서에 접근하는 일이 발생했다. 지난주, 해커원 플랫폼에서 버그바운티 관련 보고서를 교환하는 과정 중 해커원 소속 보안 분석가가 브라우저 콘솔에서 cURL 명령을 복사하고, 그것을 해커에게 보내는 과정 중에 보안 분석가들이 사용하는 보안 쿠키를 포함하여 일부 민감한 정보를 삭제하지 않아서 발생한 일이라고 한다. 문제의 직원은 다단계의 싱글사인온(SSO) 인증 과정을 거친 뒤 위와 같은 실수를 저질렀고, 따라서 이 쿠키를 뜻하지 않게 공유받았던 해커 역시 동일한 인증 과정을 거칠 수 있게 됐다. 다행히 전달받은 해커는 세션 쿠키를 공유받은 사실을 깨닫고, 자신이 어느 부분에까지 침투할 수 있는지 확인하고 그 사실을 전부 해커원에 알렸다. 해커원은 세션 쿠키의 원래 주인이었던 해커원의 보안 분석가는 네트워크 전체에 대한 접근 권한을 가지고 있지 않고, 고객과 관련된 정보는 전부 안전하다고 말했다. 또한, 문제의 핵심은 보안 분석가가 부주의하게 세션 쿠키를 외부로 노출했다는 것이 아니라 버그바운티를 진행하는 플랫폼이라고 자처하는 해커원이 세션 쿠키의 외부 반출을 막는 보안 장치를 마련하지 않고 있었다는 것이 더 크게 전문가들은 지적한다. 해커원도 여기에 동의하고 사용자의 세션을 IP 주소에 연결함으로써 다른 사람이 엉뚱한 IP 주소에서부터 같은 세션을 활용할 수 없게 하도록 조치를 취했다.

첨부파일 첨부파일이 없습니다.
태그 Emotet  APT32  Cobalt Strike  Lazarus  Gamaredon