Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향[2020년 7월 1일] 주요 보안 이슈
작성일 2020-07-01 조회 282

1. [기사] 김수키 해킹조직, 코로나 이슈 및 WSF 기반 악성파일…위협 도구로 활용 중
[https://www.dailysecu.com/news/articleView.html?idxno=110564]
최근 북한 정부 후원 해킹그룹으로 추정되는 ‘김수키’ 조직이 코로나19 바이러스 관련 내용으로 위장한 문서를 이용해 공격을 시도한 정황이 포착됐다. 이때 발견된 'bmail-security-check.wsf' 스크립트와 같이 공격자들은 wsf 악성 파일을 지속해서 활용하고 있고, 이를 블루 에스티메이트(Blue Estimate) 캠페인으로 분류하고 있다. ESRC 분석에 따르면, 스크립트 코드 내에는 코로나19 관련 정상 hwp 문서 파일과 악성 dll 바이너리 파일이 Base64 코드로 인코딩되어 있으며, 악성 파일은 C2 서버에 감염된 컴퓨터의 맥 주소와 운영체제 정보 등을 전송하고 추가 명령을 수행하게 된다. 김수키 해킹조직은 최근까지도 '윈도우즈 스크립트 파일(.wsf)' 기반의 공격을 지속해서 활용하고 있어 이용자들의 각별한 주의가 필요한 상황이다.


2. [기사] 랜섬웨어 공격 후 파일을 해독하기 위해 114만 달러의 몸값을 지불한 UCSF
[https://securityaffairs.co/wordpress/105361/cyber-crime/ucsf-paid-ransom.html]
미국 캘리포니아대 샌프란시스코(UCSF)는 랜섬웨어 공격 이후 데이터를 복구하기 위해 사이버 범죄자들에게 약 114만 달러를 지급했다고 밝혔다. UCSF는 위협을 즉각 제거했지만, 일부 시스템이 영향을 받았다고 밝혔다. NetWalker 랜섬웨어 운영자로 추정되는 공격자들은 의과 대학 내의 몇몇 서버를 암호화하는 악성코드로 일시적으로 접근할 수 없도록 하였다. 조사를 계속하고 있지만, 현재 환자 의료기록이 노출된 것으로는 보지 않는다고 말했다. 대학 측은 전문가들과 함께 조만간 피해 서버를 전면 복구할 것으로 보고 있다.


3. [기사] 미국 사이버 사령부는 APTs가 Palo Alto Networks의 PAN-OS 결함을 곧 악용할 것이라 예상한다
[https://securityaffairs.co/wordpress/105388/hacking/pan-os-flaw-uscybercom.html]
최근 Palo Alto Network는 차세대 방화벽의 전원을 공급하는 PAN-OS 운영 체제에 영향을 미치는 심각한 취약점 CVE-2020-2021을 해결했다. 이 취약점은 인증되지 않은 네트워크 기반 공격자가 인증을 무시할 수 있도록 할 수 있으며, 이는 심각도 CVSS 3.x 기본 점수 10점을 받았다. Palo Alto는 SAML ID 제공자 서버 프로파일에서 'ID 제공자 인증서 검증' 옵션을 활성화하면 취약성을 악용할 수 없음을 확인하고 패치를 발표했다. 미국 사이버 사령부는 외국의 APT가 Palo Alto Networks의 해결 된 결함을 악용할 것으로 예상하며 패치하기를 권고했다.


4. [기사] MacOS 사용자를 대상으로 한 새로운 EvilQuest 랜섬웨어 발견
[https://www.zdnet.com/article/new-evilquest-ransomware-discovered-targeting-macos-users/#ftag=RSSbaffb68]
보안 연구원들은 Google Software Update라는 소프트웨어 패키지에 숨겨진 MacOS 사용자를 대상으로 하는 새로운 랜섬웨어 변종을 발견했다. OSX.EvilQuest라는 이 랜섬웨어는 이전의 macOS 위협과는 달리 피해자의 파일을 암호화하는 것 외에도 키로거, 리버스 쉘을 설치하고 감염된 호스트에서 cryptocurrency wallet 관련 파일을 훔친다고 한다. 연구원은 이런 능력을 갖춘 공격은 감염된 호스트를 완전히 통제할 수 있으며, 피해자가 돈을 지불하더라도 여전히 컴퓨터에 접속할 수 있고 파일 및 키보드 입력을 훔칠 수 있다고 말했다. 현재 연구원들은 암호화 방식에서 취약점을 찾아 복구하는 방안을 연구하고 있는 상태다.


5. [기사] 법원 사칭 ‘불법 방문판매 벌금’ 메일 알고 보니... ‘정보 탈취 악성코드’
[https://www.boannews.com/media/view.asp?idx=89419&page=1&mkind=1&kind=]
최근 지자체가 코로나19 확산 방지를 위해 불법 방문판매 행위 단속 강화를 발표한 가운데, ‘방문판매법위반 방조’ 법원판결을 사칭한 악성코드가 발견됐다. 이번 악성 문서는 엑셀(.xls) 형태로, 해당 악성 문서를 열면 악성 매크로 사용을 유도한다. 안랩에선 이 문서가 주로 이메일로 전파됐을 것으로 추정하고 있다. 악성 매크로는 실행 후 C&C 서버에 접속해 법원판결 내용을 담은 새로운 문서파일(.xls)과 정보 유출 악성코드를 동시에 내려받는다. 사용자가 콘텐츠 사용 버튼을 누를 경우, 함께 다운로드되었던 악성코드가 실행된다. 이는 사용자 PC 내 ‘다운로드’ 폴더 파일 목록, ‘문서’ 폴더 파일 목록, IP 주소 등 PC 정보를 탈취하며, 추가 악성코드를 내려받아 실행할 수도 있다고 한다.

첨부파일 첨부파일이 없습니다.
태그 Blue Estimate  CVE-2020-2021  EvilQuest