Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향[2017년 8월 31일] 주요 보안 이슈
작성일 2017-08-31 조회 2171

1. [기사] Gazer, 대사관 등 정부기관 노리는 새로운 백도어
[https://thehackernews.com/2017/08/gazer-backdoor-malware.html]
ESET 보안 연구원들은 정부기관을 대상으로하는 새로운 멀웨어 캠페인을 발견했다. 2016년 이래로 활동중인 멀웨어 캠페인은 Gazer라고 불리는 새로운 백도어를 활용함에 있으며, 이전 러시아 정보와 관련되었던 Turla APT 해킹 그룹에 의해 수행된것으로 추정된다. Gazer는 C++언어로 작성된 백도어로 스피어 피싱 전자 메일을 통해 전달되어 컴퓨터를 하이재킹한다. 기존의 Windows Crypto API를 사용하는 대신, Gazer는 3-DES와 RSA 암호화 라이브러리를 사용하며, 이것은 Turla APT 그룹의 일반적인 전술로 표명되었다. 연구원들에 따르면, Gazer는 이미 세계의 많은 타겟을 감염시켰으며, 그 대상은 주로 유럽지역으로 밝혀졌다. 한편 카스퍼스키 연구실은 Gazer 백도어에 대한 비슷한 정보를 거의 공개했지만, 그들은 'Whitebear' APT campaign라 명하고 있다.

 

2. [기사] Fappening 사건에 이은 연예계 해킹 사건 발발
[https://thehackernews.com/2017/08/selena-gomez-instagram.html]
수많은 팔로워를 가지고 있는 인기 연예인 Selena Gomez의 인스타그램이 해킹당해 이슈가 되고 있다.
알려지지 않은 해커에 의해 Selena Gomez의 인스타그램에는 그녀의 전 남자친구인 Justin Bieber의 정면 나체사진이 포스트 되었고 이로 인해 그녀의 인스타그램 웹페이지는 마비가 되었다. 그녀의 소속사 팀은 이 사실을 인식한 후 해당 게시물 삭제와 함께 그녀의 인스타그램 계정을 재활성하였다. 얼마전 발생한 Fappening 사건과는 별개로 기존에 존재했던 사진을 게시한것으로 iCloud를 통한 유출은 아니지만 개인 정보 보호를 위한 주의가 필요함을 환기시켜 주는 사건으로 떠오르고 있다.

 

3. [기사] 악성 IP주소보다 ASN 차단하는게 더 효과적이다
[http://www.boannews.com/media/view.asp?idx=56604&mkind=1&kind=1]
악성 IP 주소의 세계 분포 현황 및 보안 대책에 대해 통찰을 제시하는 보고서가 위협 첩보 전문 업체 리코디드 퓨처(Recorded Future)에 의해 새롭게 발표됐다. 리코디드 퓨처는 악성으로 알려진 IP 주소 400만 개를 각 주소가 속한 자율 시스템 번호(ASN: Autonomous System Numbers) 단위로 묶어 놓고, 각 ASN에 어떤 위험이 있는지 연구했다. 각 IP 주소는 현재 또는 과거에 위험하다고 알려진 것이며, ‘비정상’에서 ‘매우 위험’한 행동으로 범주가 나뉘었다. ASN은 각기 다른 오퍼레이터가 관리하는 IP 서브넷을 식별하기 위해 고유하게 부여된 번호다. 리코디드 퓨처가 분석한 IP 주소 400만 개는 총 26,581개의 ASN 단위로 구분됐다. 리코디드 퓨처의 연구에 따르면, 악성 IP 주소를 일일이 차단하는 것보다 그런 주소가 일정 비율 이상인 ASN을 차단하는 것이 보안에 더 효과적고 말하고 있다.

 

4. [기사] 7억 1100만 이메일 주소가 스팸봇 서버로 노출되다
[https://thehackernews.com/2017/08/spambot-email-addresses.html]
스팸메일을 보내는데 도움을 주는 스팸봇의 서버에 다수의 이메일 주소 데이터베이스가 노출되었다. Benkow 이름을 사용하는 한 프랑스 보안 연구원은 SMTP를 사용하는 전세계의 수많은 이메일 주소를 포함하는 데이터베이스를 발견했다고 말하고 있다. 데이터베이스는 네덜란드의 스팸봇 서버에서 호스팅되며 액세스 제어없이 저장되므로 누구나 암호없이도 액세스 할 수 있다. Benkow에 의해 출간된 블로그 포스트에 따르면, "Onliner Spambot"이라 불리는 스팸봇 서버는 Ursnif라 불리는 뱅킹 트로잔을 2016년 이래로 스팸메일을 통해 유포한것으로 알려졌다. Ursnif Banking Trojan은 신용 카드 데이터, 로그인 세부사항, 패스워드 등 다른 개인정보를 타겟 컴퓨터에서 해킹하는데 사용되는 트로잔이다.

 

5. [기사] 새로운 Locky 랜섬웨어 변종 'IKARUSdilapidated' 발견
[https://threatpost.com/new-locky-variant-ikarusdilapidated-strikes-again/127726/]
보안 전문가들에 의해 Locky 랜섬웨어의 두번째 변종 IKARUSdilapidated가 확인되었다. 이 랜섬웨어는 첨부파일이 첨부된 전자메일을 통해 악성 코드가 컴퓨터에 설치되어 이용된다.  Comodo Threat Intelligence Lab에 따르면, 이 랜섬웨어는 스캐너와 프린터와 관련된 여러 워크스테이션을 타겟으로 하는 성숙한 캠페인이기때문에 요즘과 같이 문서를 인쇄하고 이메일을 통해 주고 받는 시대에서는 매우 치명적인 랜섬웨어라고 말하고 있다. 한편 Locky는 그것의 효과와 성과로 인해 매우 유명한 랜섬웨어로 지난 2년동안 약 780만 이상의 이익을 챙긴것으로 알려졌다.

 

6. [기사] 주요 스웨덴 웹 호스팅 제공 업체인 Loopia의 고객 데이터베이스가 유출되다
[http://securityaffairs.co/wordpress/62489/data-breach/loopia-data-breach.html]
스웨덴 웹 호스팅 제공 업체인 Loopia의 전 고객 정보가 유출되었다. Loopia는 데이터 유출을 확인했으며, 8월 25일 고객에게 이를 통보했다. 회사 측은 "공격은 Loopia의 전자 메일, 웹 페이지, 데이터베이스 또는 암호와 같은 서비스에 영향을 미치지 않으며 Loopia의 환경에서는 지불 카드 정보가 저장되지 않으므로 침해의 영향을 받지 않습니다." 라며, 시스템을 보호하고 고객을 보호하기 위해 공개가 지연되었다고 덧붙였다. 또한 데이터 유출 사고에 대응하기 위해 암호 재설정과 개인 정보 업데이트를 권고 하고 있다. Loopia는 해킹된 암호는 암호화 되었지만 해시 알고리즘은 밝히지 않았음을 분명히했다. 덧붙여, 조사결과 해커는 재무 데이터에는 액세스 하지 않았고 고객의 호스팅 사이트 및 전자 메일 서비스는 손상되지 않았다고 강조했다. 해커가 회사 시스템을 침범한 방식에 대해서는 내부 조사가 진행되고 있는 것으로 보인다. CEO인 Jimmie Eriksson은 "현재 내부 조사가 진행 중입니다. 동시에 우리는 시스템을 계속 검토할 것입니다. 우리는 이미 보안을 강화하기 위한 여러 가지 조치를 취했으며 시스템 조사에서 취약점이 더 많이 나타나면 더 많은 노력을 기울일 수 있습니다."고 말했다.

첨부파일 첨부파일이 없습니다.
태그