Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향[2019년 12월 23일] 주요 보안 이슈
작성일 2019-12-23 조회 450

1. [기사] 크리스마스·연말연시 시즌 ‘스미싱’ 단골메뉴, 택배 사칭 유포중
[https://www.boannews.com/media/view.asp?idx=85351&page=1&kind=1]
크리스마스와 새해 대목을 맞은 선물 수요로 택배 물량이 급증하는 시기를 노린 택배 사칭 스미싱이 기승을 부리고 있는 것으로 드러났다. 택배 사칭 스미싱의 경우 ‘[Web발신][C*J대한통운] 주소정보가 불명확하여 택배배송주소가 아닌 것으로 확인합니다. 정확한 주소정보를 입력해주세요’, ‘[CJ*통*운]OOO도로 명칭이 틀렸으니 정확하게 입력해주세요’, ‘[Web발신][우정사업본부]OOO상품 주문에 주소가 없습니다 잘해주세요’ 등의 문자 내용으로 유포되고 있는 것으로 알려졌다. 이스트시큐리티 시큐리티대응센터(이하 ESRC)에 따르면 하반기부터 스미싱이 급증하는 추세로, 스미싱 악성 앱들의 종류도 다양해지고 있으며, 이 가운데는 전 세계적으로 유포 중인 ‘xLoader’의 변종도 포함된 것으로 알려졌다. 해당 악성 앱은 최근 업데이트되어 유포되고 있으며, 26개국의 언어를 지원하도록 제작된 것으로 분석됐다. ESRC 측은 공격자 입장에서 공식 스토어나 웹사이트를 통한 유포 방법보다 상대적으로 유포가 쉬우며 관리 요소가 많지 않기 때문에 향후 스미싱이나 소셜네트워크를 유포 방법으로 활용하는 악성 앱들이 더욱 증가할 것으로 예측된다고 말했다. 또한, 스미싱은 개인정보·금융정보 탈취를 통해 보이스피싱 등 2차 피해로 이어질 수 있어 사전 예방이 중요하다.


2. [기사] KEB하나은행 보안메일 사칭한 피싱 메일 유포중
[https://www.boannews.com/media/view.asp?idx=85329&page=2&kind=1]
20일 새벽부터 ‘KEB하나은행’을 사칭한 악성 메일이 유포되고 있어 사용자들의 각별한 주의가 요구된다. 해당 메일은 KEB 하나은행의 보안 메일로 위장하고 있으며, html 파일이 첨부되어 있다. 사용자가 해당 html 파일을 클릭하면, 정상적인 이메일 보안 메일과 동일하게 생년월일 6자리를 입력하라는 페이지가 뜨며, 패스워드 입력 시 xls 문서가 실행된다. 이렇게 다운로드된 엑셀 파일 안에는 악성 매크로가 포함되어 있다. 만약 사용자가 ‘콘텐츠 사용’ 버튼을 눌러 매크로를 활성화한다면, Microsoft Office Components 설치 화면이 나타나며, 백그라운드에서 ‘outgoing.dll’ 악성 모듈을 드롭하고, ‘glitch’ 파라미터로 ‘EXCEL.exe’ 프로세스에 로드한다. 드롭된 outgoing.dll 파일은 명령제어(C&C) 서버로 ‘컴퓨터 이름, 사용자 이름, 운영체제 정보, 현재 실행 중인 프로세스 이름’ 등의 시스템 정보를 전송한다. 그리고 C&C의 명령 및 데이터에 따라 프로세스에 인젝션 되어 실행되거나 임시 폴더에 파일 드롭 및 실행이 이뤄지고, 다운로드되는 파일에 따라 2차 피해가 발생할 수 있어 주의가 필요하다.


3. [기사] 페이스북 사용자의 전화번호 2억 개 넘게 노출돼
[https://www.boannews.com/media/view.asp?idx=85333&page=1&kind=1]
페이스북 사용자 ID, 이름, 전화번호와 같은 민감한 정보 수억 건이 저장되어 있던 데이터베이스가 2주 동안이나 인터넷에 노출된 상태로 있었다는 소식이다. 보안 전문가 밥 디아첸코(Bob Diachenko)는 얼마 전 엘라스틱서치(Elasticsearch) 데이터베이스가 아무런 보안 장치 없이 인터넷에 연결되어 있는 걸 발견했다. 페이스북 사용자의 정보가 담겨 있었지만, 페이스북이 관리하는 것으로 보이지는 않았다. 디아첸코는 해당 DB를 사이버 범죄 조직의 것으로 추측했으며, 스팸 및 피싱 메일에 활용되었을 가능성이 높다고 설명한다. 데이터베이스가 처음으로 생성된 것은 12월 4일인 것으로 나타났으며, 디아첸코가 발견한 건 12월 14일이었다. 현재는 IP 주소가 차단되어 접속할 수 없게 되어 있다. 그러나 해당 DB에 있던 데이터들은 다크웹 해커 포럼에 포스팅되어 있는 상태입니다. 총 2억 6700망 건의 기록이 저장되어 있었고, 기록들 하나하나에는 고유 페이스북 ID, 전화번호, 풀 네임, 타임 스탬프와 같은 정보들이 저장되어 있었다. 이번 사건을 통해 피해를 본 페이스북 사용자 대부분은 미국에 거주 중인 것으로 나타났다. 해당 DB의 주인이 이러한 정보를 어떻게 수집했는가에 대해서는 아직 알 수 없는 부분이라고 디아첸코는 설명한다.


4. [기사] Experts warn of Greta Thunberg-themed Emotet malware campaign
[https://securityaffairs.co/wordpress/95505/malware/greta-thunberg-emotet-spam.html]
크룩스는 항상 특정 주제에 대한 미디어의 관심을 수익화하려 하고, 최근의 Greta Thunberg 테마 Emotet 캠페인은 그것을 확인 시켜 준다. 전문가들은 단일 메시지에 여러 가지 주제의 미끼를 활용한 전 세계 악성 스팸 캠페인을 관찰했다. 이는 '스웨덴의 유명한 환경 운동가 Greta Thunberg', '크리스마스 홀리데이', '환경 인식 및 활동', 'TIME 매거진에서 올해의 인물로 명명한 Thunberg' 요소를 결합한다. 스팸 메시지에는“Support Greta Thunberg.doc”이라는 Microsoft Word 문서가 첨부되어 있으며, 수신자가 메시지를 열면 Emotet Trojan이 설치된다. 이러한 공격은 전 세계를 대상으로 할 뿐만 아니라 모국어 미끼를 사용하는 데도 효과적이다. 연구원들은 스페인어, 이탈리아어, 프랑스어, 폴란드어로 제목이 표기된 악성 이메일을 확인했다. 그리고 Proofpoint 연구원들은 .com과 .edu 도메인의 이메일 주소로 전송되는 스팸 메시지와 호주, 오스트리아, 캐나다, 유럽연합, 독일, 이탈리아, 일본, 싱가포르, 스위스, 아랍에미리트, 영국 등 특정 국가와 관련된 도메인을 관찰했다. Emotet 뱅킹 트로이 목마는 적어도 2014년부터 활동했으며, 이 봇넷은 TA542로 추적된 위협 행위자에 의해 운영되고 있다.


5. [기사] Watch out, hackers are targeting CVE-2018-0296 Cisco fixed in 2018
[https://securityaffairs.co/wordpress/95460/hacking/cve-2018-0296-cisco-asa-attacks.html]
Cisco는 해커가 CVE-2018-0296 결함을 악용하여 Cisco ASA 및 Firepower Appliance 제품을 계속 겨냥하고 있다고 고객에게 경고했다. 이 취약점은 인증되지 않은 원격 공격자가 디렉터리 트래버설 공격을 통해 중요한 정보에 접근하기 위해 악용할 수 있고, 서비스 거부(DoS) 상태를 유발할 수도 있다. 이 문제의 근본 원인은 HTTP URL에 대한 올바른 입력 유효성 검사가 없기 때문에 공격자에 의해 특수하게 조작 된 HTTP 요청을 취약한 장치로 보내 공격자에게 악용될 수 있다. 이 취약점은 2018년 6월 초에 다수의 PoC(of-of-concept) 공격이 온라인으로 공개된 이후 1년 전에 패치되었다. 

첨부파일 첨부파일이 없습니다.
태그 xLoader  Emotet   TA542  CVE-2018-0296