Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향[2019년 12월 17일] 주요 보안 이슈
작성일 2019-12-17 조회 329

1. [기사] 美 뉴올리언스시, 랜섬웨어 공격받아 모든 PC 전원 차단 
[https://dailysecu.com/news/articleView.html?idxno=87544] 
지난 주말, 뉴올리언스 공무원들은 기자 회견에서 도시가 랜섬웨어 공격을 받았고 해당 사고를 12월 13일 오전에 발견했다고 발표했다. IT 관련 부서 직원들은 즉시 사고에 대해 알리고, 직원 전체의 컴퓨터 전원을 끄도록 처리했다. 시스템을 감염시킨 랜섬웨어 종류가 밝혀지지 않았을 때, 모든 장치들은 도시 네트워크와의 연결이 끊겨 있었다. 그리고 공격에 대한 추가 정보가 미디어에서 공유되고 있으며, 바이러스토탈 검색 서비스에 업로드된 파일에 따르면, 뉴올리언스 시와 관련된 랜섬웨어는 Ryuk 랜섬웨어일 가능성이 높다. 해당 공격 다음날인 2019년 12월 14일에는 의심스러운 실행 파일 메모리 덤프가 미국 IP 주소에서 바이러스토탈에 업로드되었다. 뉴올리언스와 Ryuk에 대한 많은 레퍼런스가 포함된 메모리 덤프 중 하나는 Red Flare Security의 Colin Cowie에 발견되고 공유되었으며, Cowie가 발견한 덤프는 yoletby.exe라는 실행 파일과 연관되어 있고, 도메인 이름, 도메인 컨트롤러, 내부 IP 주소, 사용자 이름, 파일 공유를 포함한 뉴올리언스 시에 대한 레퍼런스를 포함하고 있다. 또한, 덤프가 HERMES 파일 마커, .ryk로 끝나는 파일명, RyukReadMe.html 랜섬 노트를 생성한 레퍼런스를 포함하고 있음을 발견했다. 그리고 v2.exe 메모리 덤프에 특히 관심이 있는 것은 뉴올리언스 시청을 나타내는 문자열이다.


2. [기사] A thief stole hard drives containing Facebook payroll data from a car
[https://securityaffairs.co/wordpress/95215/data-breach/facebook-payroll-data-stolen.html]
페이스북은 직원들에게 지난달 직원 급여 정보가 담긴 하드 드라이브가 차에서 도난당했다고 알렸다. 페이스북에 따르면, 한 도둑이 페이스북 직원 2만 9천 명의 은행 데이터가 들어 있는 암호화되지 않은 하드 드라이브를 훔쳤다고 한다. 이 하드 드라이브에는 2018년 페이스북에 고용된 미국 근로자에 대한 정보가 담겨 있으며, 노출된 데이터에는 은행 계좌 번호, 직원 이름, 주민등록번호 마지막 네 자릿수, 급여, 보너스, 주식 정보가 포함되어 있다. 대변인은 블룸버그와의 성명에서 차량 침입으로 인해 직원 급여 정보가 저장된 회사 장비가 들어 있는 직원 가방이 도난되었으며, 남용의 증거를 보지 못했기 때문에 직원 정보 탈취의 목적이 아니라 강도로 생각한다고 말했다. Facebook은 여전히 ​​정보를 복구하기 위해 법 집행 기관과 협력하고 있지만 하드 드라이브를 찾지 못했다.


3. [기사] Emotet Trojan is Inviting You To A Malicious Christmas Party
[https://www.bleepingcomputer.com/news/security/emotet-trojan-is-inviting-you-to-a-malicious-christmas-party/]
공휴일에 맞춰 Emotet Trojan 갱은 크리스마스 테마 이메일을 보내기 시작했다. Emotet 크루는 스팸 캠페인을 발송할 때 주요 목표는 수신자가 첨부된 악성 문서를 열어 Emotet Trojan 및 기타 악성코드에 감염되도록 하는 것이다. 일반적으로 결제 인보이스, 결제 영수증, 배송 정보, 음성 메일 및 eFax와 같은 다양한 이메일 테마를 사용하며, 주요 휴일 동안 Emotet은 핼러윈, 추수 감사절 및 현재 크리스마스 파티에 초대하는 휴일 테마 이메일을 보내 더욱 축제 분위기를 낸다. 이메일 보안 회사인 Cofense Labs가 처음 언급한 새로운 스팸 캠페인에서 Emotet은 'Christmas Party next week' 또는 'Christmas party'와 같은 주제를 사용하여 크리스마스 파티 초대를 가장하는 스팸 이메일을 발송하기 시작했다. 이 이메일에는 'Christmas party.doc' 및 'Party menu.doc'과 같은 이름을 가진 악의적인 Word 문서가 첨부되어 있다. 사용자는 첨부 파일을 열면 수신자가 '편집 사용' 또는 '콘텐츠 사용'을 클릭해야 볼 수 있다고 말하고, 사용자가 콘텐츠를 활성화하면 Windows에 Emotet Trojan을 설치하는 내장 매크로가 실행된다. Emotet가 시작되면, 컴퓨터는 스팸을 더 전송하고, 데이터를 탈취하기 위한 TrickBot을 다운로드한 뒤, 랜섬웨어로 끝날인지도 모른다.


4. [기사] 비자, “북미 주유소 노리는 카드 사기 공격 증가 중” 경고
[https://www.boannews.com/media/view.asp?idx=85209&page=1&kind=1]
최근 비자(Visa)는 북미권의 유명 주유소 체인점들과 환대 업체 한 군데를 겨냥한 PoS 공격이 빈번해지고 있다고 경고했다. 보통 주유소를 노리는 카드 정보 탈취 범죄는 카드 리더기나 PoS 장비에 스키머를 심는 방식으로 진행하지만, 이번에 비자가 언급한 공격의 경우는 카드 거래 내역을 처리하는 백엔드 시스템에 멀웨어를 심는 방식으로 이뤄진다고 한다.  PoS 시스템의 백엔드를 표적으로 공격한다는 건, 공격자가 피해자의 내부 네트워크에 접근한다는 것이고, 따라서 기술적으로 훨씬 수준이 높다는 것이다. 이런 성질을 가진 공격 캠페인을 비자의 사기 전담 부서가 최근 세 개 발견했다고 한다. 이 캠페인들은 최소 8월부터 진행되어 온 것으로 보이며, 두 개는 핀8(FIN8)이라는 유명 PoS 전문 공격 단체들의 소행일 가능성이 높다. 이 8월의 공격 중 하나는 주유소 체인점을 겨냥해서 실시됐다. 체인점 종업원 한 명이 피싱 이메일로 배달된 악성 링크를 클릭하면서 원격 접근 툴이 다운로드됐고, 공격자들은 이를 통해 원격에서 여러 가지 정찰을 시도했다. 그런 후 네트워크 내에서 횡적으로 움직이면서 RAM 스크래퍼를 심어 각종 중요 데이터를 훔쳐 가는 데 성공했다. 두 번째 공격 시나리오도 비슷하지만, 아직 공격자들이 어떤 방식으로 네트워크에 최초로 침투 성공했는지는 확실히 알아내지 못했다. 비자에 의하면 이 공격의 피해자가 된 주유소의 경우는 칩 기반 카드와 자기 띠 기반 카드 거래 모두를 지원하고 있었지만, 주유 기기 자체에는 자기 띠 카드만 사용이 가능했다. 세 번째 공격에 당한 건 환대 업체 중 하나였고, 이 경우 역시 비자 사기 전담팀이 아직 최초 침투 경로를 발견해낼 수 없으며, 공격자들은 PoS 정보를 훔쳐 갔다고 한다. 주유 시설이 꽤 오래된 곳이 많고, 따라서 EMV 표준이 도입되지 않은 곳이 많기 때문에 주유소 체인점들을 대상으로 한 카드 정보 탈취 공격은 최근 세계 곳곳에서 증가하는 추세를 보인다.


5. [기사] 활성 RSA 인증서 172개마다 하나씩 손상시킬 수 있는 취약점 발견돼
[https://dailysecu.com/news/articleView.html?idxno=87517]
RSA 인증서에서 현재 활성 상태인 172개 인증서마다 하나를 손상시킬 수 있는 취약점이 발견되었다. 제1차 IEEE 콘퍼런스에서 키팩터(Ketfactor)의 연구팀은 디지털 인증서의 보안 상태에 대한 조사 결과를 발표했다. 연구진은 발표한 'IoT 시대의 RSA Keys 구축(Factoring RSA Keys in the IoT Era)' 논문에서 RSA 키의 보안을 최소 컴퓨팅 리소스로 훼손할 방법을 개략적으로 설명하고 있다. 이 팀은 7천 5백만 개의 활성 RSA 키 데이터베이스를 구축했고 후에 인증서 투명로그로 1억 개의 인증서를 추가하고, 그 후 알고리즘과 마이크로소프트 Azure 가상 머신을 사용해 데이터 세트를 분석했다. 키팩터는 1억 7천 5백만 개의 키를 채굴하여 무작위 번호 생성에서 공통적인 요소를 식별한 결과 온라인상의 172개의 활성 키 중 한 개가 한 요소를 공유한다는 사실을 발견했다. RSA의 보안은 RSA 공개 키가 파생된 두 가지 프라임 번호를 확인할 수 없다는 데 의존하는데, 이러한 '프라임 요인'의 발견은 인증서를 손상시키는 데 사용될 수 있으며, RSA 인증서를 사용하는 장치의 보안 위험을 초래할 수 있다고 팀은 말한다. 또한, 연구원은 실제 공격 시나리오에서 SSL/TLS 서버 인증서에 대한 개인 키를 재탐색한 위협 행위자는 장치가 연결을 시도할 때 해당 서버를 가장할 수 있고, 연결 사용자나 장치는 공격자와 합법적인 인증서 보유자를 구별할 수 없어 중요한 장치 오작동이나 민감한 데이터 유출이 가능하게 한다고 말했다. 이에 비해 CT(인증서 투명성) 로그의 1억 개 인증서 중 5개만 동일한 주요 요인(factor)을 공유하고 있었다. 논문에 따르면 이 같은 불일치는 설계 제약으로 인해 엔트로피 비율이 낮아야만 관리할 수 있는 IoT와 전력 제한 장치가 원인이라고 전했다.

첨부파일 첨부파일이 없습니다.
태그 Ryuk   Emotet   FIN8  RSA