Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향[2019년 12월 19일] 주요 보안 이슈
작성일 2019-12-19 조회 606

1. [기사] Gangnam Industrial Style APT campaign targets industrial firms worldwide
[https://securityaffairs.co/wordpress/95289/apt/gangnam-industrial-style-campaign.html]
전문가들은 최소 200개의 회사가 APT 그룹이 수행한 Gangnam Industrial Style이라고 불리는 캠페인의 타깃이라는 사실을 발견했다. 이 캠페인은 대부분이 한국(60%)에 있는  산업, 엔지니어링 및 제조 조직을 대상으로하며, 인도네시아, 터키, 독일, 에콰도르, 영국도 대상에 포함되어 있다. 캠페인은 영업 비밀과 지적 재산을 훔치거나, 향후 공격에 대한 사이버 정찰을 수행하고, 랜섬웨어 공격을 위해 산업 제어 네트워크를 손상시키는 등 여러 가지 방법으로 사용될 수 있는 비밀번호와 문서를 탈취하며, 해당 공격의 전술, 기술 및 절차는 고급 지속적 위협(APT) 그룹의 참여를 암시한다. 위협 행위자들은 종종 PDF 파일로 위장되는 악성 첨부 파일이 있는 이메일을 사용하여 창 피싱 공격을 시작했다. 첨부 파일은 산업이 주제이며 백서, 발전소 다이어그램 및 시설 도면에 대한 견적 요청을 포함하고, 때에 따라 공격자는 공개적으로 사용 가능한 회사 프로필 브로셔를 PDF 형식으로 사용했다. 이메일 중 하나는 지멘스 자회사가 보낸 합법적인 메시지로 위장되었다. 공격자들은 2013년 Sonicwall에 의해 처음 발견된 악성코드인 Separ 자격 증명 도용 악성코드의 새로운 변종을 사용했다.


2. [기사] 트위터 통한 새로운 공격, 뇌전증 환자 발작 유발하기
[https://www.boannews.com/media/view.asp?idx=85276&page=1&kind=1]
뇌전증 재단(Epilepsy Foundation)이 익명의 트위터 사용자들 다수를 고소했다. 이들이 뇌전증 재단 공식 트위터 피드에 강력한 빛이 번쩍이거나 스트로빙 효과가 추가된 이미지 등 환자들의 발작을 유발할 수 있는 콘텐츠를 잔뜩 올렸다고 한다. 이는 소셜 미디어를 통해 발생하는 새로운 유형의 사이버 공격으로 물리적인 피해를 줄 수 있는 특징을 가지고 있다. 뇌전증 환자의 3%는 특정 강도의 빛이 눈앞에서 반짝 빛날 때나 특정 시각 패턴에 노출되었을 때 발작을 일으킬 수 있으며, 발작은 때로 큰 위험을 초래하고 재단 측은 설명했다. 고소장에 의하면 11월 첫째 주, 재단의 공식 트위터에 약 30개의 발작 유발용 트윗들이 올라왔으며, 현재 이 트윗들에 대한 수사는 진행되고 있다. 뇌전증 재단의 수석 의료 및 혁신 기술 담당자인 재컬린 프렌치(Jacquelline French)는 이러한 악성 시도에 영향을 입는 사람의 수는 그리 많지 않은 게 사실이지만, 그 소수의 사람에게는 매우 치명적으로 작용할 수 있다고 주장했으며, 심지어 자신이 빛에 민감한 사람이라는 걸 모르는 경우도 많다고 말했다. 트위터 계정의 팔로워가 현재 약 3만 3천 명이다. 그리고 11월은 국가뇌전증인식제고의 달로 미국에서 지정되어 있고, 따라서 첫 주에는 재단의 트위터를 팔로우하는 사람들이 크게 늘어나는 게 보통이다. 공격자들은 바로 이 시기를 노린 것으로 보인다. 트위터가 뇌전증 환자를 겨냥한 공격 플랫폼이 활용된 것은 이번이 처음이 아니다. 2016년 12월 뇌전증을 앓고 있던 유명 기자 커트 아이켄월드(Kurt Eichenwald)가 정치적인 트윗을 올리자 한 트위터 사용자가 스트로빙 빛이 포함된 이미지를 그에게 전송하면서 '발작을 일으켜도 싼 놈'이라고 공격했으며, 실제 아이켄월드는 이 이미지 파일을 보고 발작을 일으켰다.


3. [기사] 가짜 ‘보안 프로그램 설치’ 피싱 페이지로 유포되는 악성코드…주의
[https://dailysecu.com/news/articleView.html?idxno=88132]
최근 유명 포털사이트의 ‘보안 프로그램 다운로드’ 고객 안내 페이지를 위장해 악성코드를 유포하는 사례를 발견되고 있다. 먼저 공격자는 유명 포털사이트의 ‘보안 프로그램 다운로드’ 고객 안내 페이지를 가장한 피싱 페이지를 만들었으며, 이와 함께 보안 프로그램 설치파일을 위장한 악성코드도 접속 기기에 따라 PC에서 다운로드 시 압축파일(.zip)을, 스마트폰에서 다운로드 시 앱 설치파일(.apk)을 내려 받도록 설계했다. 사용자가 속아 해당 파일을 내려받아 압축 해제하고 실행하면 악성코드에 감염되며, 이와 동시에 사용자 화면에는 ‘보안 프로그램이 성공적으로 설치되었습니다’라는 대화상자가 나타나기 때문에 사용자가 악성코드 감염을 인지하기 어렵다. 감염 이후 악성코드는 사용자 PC의 IP, 윈도 운영체제 버전 정보, 드라이브 정보 등을 C&C(Command & Control) 서버(*)로 전송한다. 또한 추가 악성코드를 사용자 PC로 다운로드해 악성 행위를 지속 수행한다. 스마트폰 환경에서 해당 피싱 사이트에 접속하면 모바일 웹 페이지로 구성한 ‘보안 프로그램 설치 위장 피싱 페이지’가 나타나며, 설치파일을 실행하면 악성 앱이 설치되며 해당 악성 앱은 사용자 몰래 단말기 전화번호, 고유번호(IMEI) 등 개인정보를 수집해 C&C 서버로 전송한다.


4. [기사] Trend Micro observed notable malware activity associated with the Momentum Botnet
[https://securityaffairs.co/wordpress/95325/malware/momentum-botnet.html]
트렌드 마이크로 (Trend Micro)의 악성 코드 연구자들은 최근 Momentum Botnet과 관련된 Linux를 실행하는 장치에 영향을 미치는 악성코드 활동을 발견했으며, 전문가들은 봇넷이 Linux 장치를 손상시키고 분산 서비스 거부 (DDoS) 공격을 시작하기 위해 사용하는 도구와 기술에 대한 세부 정보를 공개했다. Momentum 봇은 ARM, MIPS, Intel 및 Motorola 68020을 포함하여 여러 CPU 아키텍처에서 실행되는 다양한 Linux 플랫폼을 대상으로한다. 봇은 Mirai, Kaiten 및 Bashlite 변형을 배포하는 것으로 나타났으며 라우터와 웹 서비스에 대한 여러 가지 익스플로잇을 활용하여 대상 장치를 손상시킨다. Momentum 봇은 'rc'파일을 수정한 다음 명령 및 제어 (C&C) 서버 및 #HellRoom이라는 IRC (Internet Relay Chat) 채널에 연결하여 자체 등록 및 명령을 수락하여 지속성을 유지하며, 주로 IRC 프로토콜을 사용하여 명령 및 제어(C&C) 서버와 통신한다. 또한, Momentum은 MEMCACHE, LDAP, DNS 및 Valve Source Engine을 대상으로 하는 다중 반사 및 증폭 공격 방법을 포함하여 DDoS 공격에 대한 36가지 방법을 지원한다. DoS 공격 외에도 Momentum은 지정된 IP의 포트에서 프록시 열기, 클라이언트 닉네임 변경, 클라이언트의 패킷 화 비활성화 또는 활성화 등의 다른 작업도 수행 할 수 있다.


5. [기사] 인텔의 RST에서 권한 상승 취약점 발견돼
[https://www.boannews.com/media/view.asp?idx=85268]
텔(Intel)이 ‘급속 저장 기술(Rapid Storage Technology, RST)’에서 발견된 취약점을 패치했다. 로컬의 사용자가 시스템(System)으로까지 권한을 상승시킬 수 있게 해주는 취약점이다. 인텔의 RST는 윈도우 기반 애플리케이션으로, 인텔 칩을 기반으로 한 많은 컴퓨터 장비들에 제공되며, SATA 디스크의 퍼포먼스와 안정성을 크게 향상시켜준다. 이 RST에서 취약점을 발견한 건 세이프브리치(SafeBreach)라는 보안 업체로, 로컬 사용자가 권한을 상승시킨 뒤 방어 장비들을 무력화시키고 임의의 무서명 DLL을 프로세스에 주입함으로써 공격 지속성까지 확보할 수 있게 해준다고 설명했으며, 공격을 성공시키기 위해서 공격자는 관리자 권한을 가지고 있는 상태여야 한다고 말했다. 이는 최근 세이프브리치가 카스퍼스키(Kaspersky), 맥아피(McAfee), 시만텍(Symantec), 어베스트(Avast), 아비라(Avira) 등의 보안 제품에서 발견한 취약점들과 공격자가 악성 DLL을 로딩함으로써 권한을 상승시킨다는 점에서 비슷한 성격을 가지고 있다. 인텔의 RST와 관련이 있는 프로세스 중 IAStorDataMgrSvc.exe가 있는데, 시스템 권한으로 서명되어 있으며, 마찬가지로 시스템 권한 아래 실행되고, 실행 시 최소 네 가지 DLL을 로딩하려고 하는데, 그 DLL들이 전부 지정된 경로에 존재하지 않는다고 세이프브리치는 설명했다. 그렇다는 건 공격자가 1) 자신만의 DLL을 만들어 2) IAStorDataMgrSvc.exe가 검색하는 경로에 가져다 두면 공격을 성립시킬 수 있다는 뜻이 되며, 위에 언급된 여러 보안 회사의 제품들도 정확히 같은 개념으로 공격이 가능했었다. 인텔은 RST 17.7.0.1006 이전 버전에서 해당 문제가 존재함을 확인했으며, 이 취약점에는 CVE-2019-14568이라는 관리 번호가 붙었고, CVSS 점수는 6.7점을 기록했다.

첨부파일 첨부파일이 없습니다.
태그 Gangnam Industrial Style  Momentum  RST  CVE-2019-14568