Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향[2017년 2월 21일] 주요 보안 이슈
작성일 2017-02-21 조회 1506

1. [분석보고서] 폴란드 은행을 공격한 가짜 플래그 악성코드 분석 보고서

[http://baesystemsai.blogspot.kr/2017/02/lazarus-false-flag-malware.html]

[기사] 폴란드 은행을 공격하는 멜웨어, 러시아 해커를 비난하는 거짓 플래그 포함되
[https://www.bleepingcomputer.com/news/security/malware-used-to-attack-polish-banks-contained-false-flags-blaming-russian-hackers/]
최근 폴란드 은행을 대상으로 하는 공격에서 사용된 악성 코드 샘플에는 러시아어를 사용하는 해커에 대한 공격을 비난하려는 시도가 포함되어 있었다. 이 공격은 최근 폴란드, 우루과이, 멕시코 은행에 대해 동일한 동적 API 로딩 기술을 사용하고, 동일한 Enigma Protector 코드 패킹 시스템에 의해 보호되고 있으며 동일한 "dropping" 기술을 공유하고 있으며 금융 기관에 대항하고 러시아봐는 북한과 연계가 되어 있다고 추측된다.


2. [기사] Ramnit 봇넷 2017년에도 계속해서 등장
[https://www.bleepingcomputer.com/news/security/ramnit-botnet-comeback-continues-in-2017/]
Ramnit 은 2015년 중단되었다가 살아남은 뱅킹 트로이 목마로, 2017년 계속된 복귀를 시도하고 있다. 지난 달 Ramnit은 주로 미국을 대상으로 집중했고, 현재 전 세계의 여러은행 고객을 대상으로 FTP 클라이언트, 전자 메일 클라이언트 및 브라우저에서 자격 증명을 검색, 추출, 도용하려 시도하고 있다.


3. [기사] 새로운 TeamSpy 멜웨어 캠페인, TeamViewer를 스파이 툴로
[http://news.softpedia.com/news/new-teamspy-malware-campaign-turns-teamviewer-into-spy-tool-513115.shtml]
해커가 손상된 컴퓨터에 대한 완전한 액세스 권한을 부여할 수 있는 TeamSpy 멜웨어가 나타났다. 이는 2013년 무수히 많은 컴퓨터를 공격시켰던 멜웨어의 재등장이기도 하다. 공격은 스푸핑된 주소의 전자 메일을 통해 사용자에게 zip파일을 다운로드하도록 유도함으로써 시도된다. 사용자가 해당 파일을 열면 .exe파일이 트리거되며 슾파이 툴이 설치되어 숨겨지는 방식이다.


4. [기사] 샤문 공격 벡터 밝혀져
[http://www.theregister.co.uk/2017/02/16/researchers_catch_drivedestroying_domains_for_cyberwar_shamoon_malware/]
[http://www.ryansecurity.co.kr/3532]
Shamoon 악성코드를 통한 공격은 최근 사우디아라비아와 이란 사이에서 활동중이다. 해당 공격은 전자메일을 스팸메일로 전송하고 신뢰할 수 있는 사람으로 가장하여 Word문서를 열도록 유도한다. 문서를 열면 두 개의 PowerShell 스크립트가 실행된다.(하나는 다른 PowerShell 스크립트 다운, 하나는 CreateThread를 사용하여 코드 실행) 최선 대응책은 관련 IP주소를 차단하고 네트워크 스캔을 통해 감염된 사용자가 있는지 확인하는 것.

 

-> 지난 관련 기사
[기사] IBM 무기 문서를 통해 전달되는 Shamoon 악성코드
[http://www.securityweek.com/shamoon-malware-delivered-weaponized-documents-ibm?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+Securityweek+%28SecurityWeek+RSS+Feed%29&utm_content=FeedBurner]
[http://securityaffairs.co/wordpress/56327/malware/shamoon-attack-chain.html]
[https://securityintelligence.com/the-full-shamoon-how-the-devastating-malware-was-inserted-into-networks/]
IBM 의 IRIS 팀에 따르면 디스크를 완전히 삭제하는 Shamoon 악성코드가 매크로 문서와 파워쉘 스크립트를 통해 유포되고 있다. Shamoon2 는 최근 사우디 아라비아와 걸프해 근방 주를 대상으로 활동중으로 밝혀졌다. 여러 변종이 있는 Disttrack 악성코드 또한 가상PC를 노리고 활동중인것으로 밝혀져...

 


5. [기사]아시아나 항공 홈피 해킹 관련 기사
[http://www.boannews.com/media/view.asp?idx=53529&page=1&kind=4]
[http://www.boannews.com/media/view.asp?idx=53530&page=1&kind=1]
해킹범으로 추정되는 kuroi’SH, 어나니머스와 논쟁 중 입장 밝혀. 세계적인 핵티비스트 단체인 어나니머스에서 이번 사건과 관련해 kuroi’SH를 책망하는 듯한 모습을 보여 관심을 끌고 있다. 

 


6. [POC] PHPShell v2.4 취약점
PHPShell v2.4 CSS 취약점
[http://www.exploitalert.com/view-details.html?id=26024]
 

PHPShell v2.4 Session Fixation 취약점

Session Fixation - 세션 하이재킹의 하나, 유저세션 탈취 인증우회수법. 주로 웹 어플리케이션에 존재하는 세션 관리상의 제한이나 취약점을 이용한다.
[http://www.exploitalert.com/view-details.html?id=26025]

 


7. [기사] 이라크해커 도널드 트럼프 웹사이트 디페이스 공격
[http://thehackernews.com/2017/02/donald-trump-website-hacked.html?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+TheHackersNews+%28The+Hackers+News+-+Security+Blog%29]
[https://hotforsecurity.bitdefender.com/blog/iraqi-hacker-attacks-trumps-fundraising-website-17714.html]
스스로를 Pro_Mast3r 로 칭하는 알려지지 않은 해커가 도널드 트럼프 대통령의 자금 모금과 관계된 공식 웹사이트를 공격했다.

 


8. [기사] Mirai 악성코드 변종 발견
[http://www.krcert.or.kr/data/trendView.do?bulletin_writing_sequence=25204]
Mirai 변종 Trojan.Mirai.1은 기존 Mirai리눅스 악성코드와는 다르게 Trojan.Mirai.1은 더 많은 TCP포트를 스캔하여 더 많은 기기들을 감염시킬 수 있어 파급력이 높음.

첨부파일 첨부파일이 없습니다.
태그