Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향[2020년 1월 20일] 주요 보안 이슈
작성일 2020-01-20 조회 445

1. [기사] [긴급] 청와대 행사 견적서 사칭 변종 공격 발견... 北 추정 ‘김수키’ 조직이 또?
[https://www.boannews.com/media/view.asp?idx=85847&page=2&kind=1]
지난해 말 발생한 청와대 행사 견적서 사칭 공격의 변종 공격이 이번 주말에 또다시 포착됐다. 이번에도 공격 주체는 북한 해커조직인 ‘김수키’로 추정된다. 이스트시큐리티 시큐리티대응센터(이하 ESRC)에 따르면 17일 ‘오성사 MC2-500 외형도 P1307033Model_수정.pdf(빈공백).exe’라는 제목의 PDF 파일로 위장한 형태로 악성 파일이 유포됐고, 해당 악성 파일은 2중 확장자로 된 exe 실행 파일로 분석됐다. 17일 10시 33분에 제작된 해당 악성 파일은 예전에 발견된 청와대 행사 견적서 사칭 악성 문서와 파일 구조와 악성코드 제작 시 사용된 PDB 경로(E:pcmakeHwpBinmakeHwp.pdb)가 정확히 일치하는 것으로 드러났다. 한편, ESRC는 이번 APT 공격을 ‘오퍼레이션 블루에스티메이트 파트2(Operation Blue Estimate Part2)’로 명명했으며, 공격 주체 또한 지난번과 동일한 ‘김수키’ 조직으로 추정된다는 점에서 파트2로 붙였다고 볼 수 있다.


2. [기사] APT 공격조직 ‘코니’의 스피어 피싱 공격 시도 포착돼…주의
[https://www.boannews.com/media/view.asp?idx=85841&page=2&kind=1]
대표적인 APT(지능형 지속위협) 공격 조직 중 하나인 ‘코니(Konni)’의 스피어 피싱(Spear Phishing) 공격 시도가 2020년 들어 새롭게 포착되어 각별한 주의가 필요하다고 이스트시큐리티가 밝혔다. 공격에 활용된 악성 DOC 문서 파일 2종은 파일을 저장한 사람의 이름이 ‘Georgy Toloraya’로 동일하며, 내부 코드 페이지가 한국어 기반으로 제작된 것이 특징이다. 문서 파일은 러시아어로 작성되어 있으며, 북한의 2020년 정책과 일본의 2020년 패럴림픽 관련 내용을 담고 있다. 특히, 일본 2020년 패럴림픽 관련 문서의 파일명은 실존하는 자선 단체인 ‘Kinzler Foundation’을 사칭한 ‘Kinzler Foundation for 2020 Tokyo Paralympic games.doc’으로, 메일 수신자가 신뢰하고 문서를 열어보도록 유도하고 있다. 내부에 포함된 악의적 VBA 코드가 활성화되면 악성코드가 실행된다. 악성코드에 감염되면 공격자가 임의로 지정한 FTP 서버로 사용자 PC 시스템의 주요 정보를 업로드하고, 공격자의 추가 명령에 따라 원격제어가 가능한 RAT 감염 등 2차 피해로 이어질 수 있다.


3. [기사] 이란의 해커들, 바레인 국영 석유 회사 침투해 데이터 전부 삭제
[https://www.boannews.com/media/view.asp?idx=85847&page=2&kind=1]
2월 29일, 한 사이버 공격 단체가 바레인의 국영 석유 회사에서 사용되고 있는 시스템에 있는 데이터를 말끔하게 삭제했다. 공격자들은 와이퍼(wiper)라고 분류되는 삭제형 멀웨어를 통해 '빈 살만(Bin Salman)에 반대한다', '사우디 왕국에 반대한다'라는 문구를 채워 넣었다. 이 멀웨어의 이름은 더스트맨(Dustman)으로, 공격자들은 2019년 7월부터 피해 기업의 네트워크에 접근할 수 있었지만, 데이터를 실제로 삭제한 건 12월 29일이었다. 미국이 이란에 보복하기 위해 시리아와 이라크에 있는 이란 시설에 폭탄을 투하한 날과 일치한다. 공격자들의 침투 기법이나 활동 사항들을 분석했을 때, 공격자들이 공격의 마무리 단계에서 서두른 흔적이 나타났다. 이는 미국의 공격 개시 일자를 맞추기 위해서 급하게 처리를 한 것으로 보인다고 전문가는 말했다. 이란의 사이버전이라고 하면 바레인 석유 회사의 경우처럼 ‘파괴적’인 이미지를 가지고 있지만, 사실 이란 해커 부대가 정말 잘하는 건 정보를 훔치는 것이다. 더스트맨은 파괴적인 도구가 활용된, 삭제 목적의 공격이었다. 이란의 정부를 돕거나, 이란 정부의 후원을 받는 단체가 벌인 짓으로 보이잠, 특정 그룹의 이름을 정확하게 댈 수 있을 정도의 증거가 모인 것은 아니다.


4. [기사] New Nest Video Sextortion Scam Plays Out Like a Spy Game
[https://www.bleepingcomputer.com/news/security/new-nest-video-extortion-scam-plays-out-like-a-spy-game/]
전형적인 틀을 깨는 새로운 sextortion 사기가 연초에 적발되었다. 사기범들은 고전적인 계획에서 벗어나지 않으며, 돈을 받지 않으면 누드 동영상을 성인 웹사이트에 공개하겠다고 위협한다. 해당 동영상은 피해자의 휴대폰에 악성코드를 감염시키고, 녹음 기능을 이용해 주변 장치에 전파한 뒤 입수했다고 주장한다. 해당 이메일에 짧은 링크가 제공되어 피해자를 휴대 전화에 설치된 멀웨어에 감염된 것으로 보이는 공공장소에 설치된 Nest 카메라의 실시간 피드를 표시하는 웹 사이트로 리디렉션한다. 그러나 해당 영상은 피해자의 것이 아니며, Nest 카메라도 해킹되지 않았고 Nest의 공식 웹 사이트의 영상이 피해자를 겁주기 위해 사용되었다. IoT 기기는 오래전부터 불안하고 해킹에 취약한 것으로 분류되어 왔기 때문에, 이 이야기를 통해 주장을 더 믿을 만하게 만든다.


5. [기사] Microsoft provides mitigation for actively exploited CVE-2020-0674 IE Zero-Day
[https://securityaffairs.co/wordpress/96560/hacking/cve-2020-0674-ie-0day.html]
마이크로소프트는 인터넷 익스플로러에 영향을 미치는 CVE-2020-0674로 추적된 제로 데이 원격 코드 실행(RCE) 취약성에 대한 완화를 포함하는 보안 권고(ADV200001)를 발행했다. Internet Explorer에서 스크립팅 엔진이 메모리의 개체를 처리하는 방식에는 원격 코드 실행 취약점이 존재하며, 이 취약점은 공격자가 현재 사용자의 컨텍스트에서 임의 코드를 실행할 수 있는 방식으로 메모리를 손상시킬 수 있다. 침입자는 이 취약점을 악용하여 사용자가 손상된 Windows 장치에 로그인한 것과 동일한 사용자 권한을 얻을 수 있다. Microsoft는 현재 이 취약점을 해결하기 위해 패치를 개발 중이라고 발표했으며, 공격자가 이미 결함을 악용하고 있기 때문에 대역 외 업데이트를 릴리스할 가능성이 있다. Microsoft는 이 제로 데이 결함을 완화하기 위한 해결 방법으로 JScript.dll에 대한 액세스를 제한할 것을 제안한다.

첨부파일 첨부파일이 없습니다.
태그 Kimsuky  Konni  Dustman  Sextortion   CVE-2020-0674