Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향[2017년 11월 20일] 주요 보안 이슈
작성일 2017-11-20 조회 2546

1. [기사] 페이스북, 트위터, 지메일 정보를 훔치는 새로운 뱅킹 트로이목마
[https://thehackernews.com/2017/11/facebook-twitter-hack.html]
보안 연구원들은 새로운 정교한 형태의 악성 프로그램을 발견했다. 해당 프로그램은 은행 계좌 정보 이상을 훔치는 Zeus 은행 트로이목마를 기초로 고안되었다. 일명 Terdot이라 불리는 이 새로운 트로이목마는 2016년 중반기부터 퍼지기 시작했으며, 최초에는 사용자 신용카드 정보, 로그인 정보, 웹사이트 방문 HTML 인젝션 등의 man-in-the-middle 공격을 하도록 고안되었다. 그러나 보안 업체인 Bitdefender의 연구원은 이 트로이목마가 SSL 인증서를 스푸핑하기 위한 오픈 소스 툴을 활용하는 것과 같은 새로운 간첩기능으로 재개발되었다는 사실을 발견했다. 이 트로이목마는 주로 SunDown Exploit Kit에 영향을 받은 웹사이트를 통해 배포되며, 일부는 악의적으로 조작된 전자메일의 첨부파일을 통해 배포되기도 한다. 만약 해당 파일을 클릭하여 열람하게 되면, 멀웨어 파일이 다운로드되어 실행된다. 이에 따라서 사용자들의 브라우저 사용에 주의가 요구되고 있는 상황이다.

 

2. [기사] NSA 직원 컴퓨터는 이미 멀웨어로 감염되었었다?
[https://thehackernews.com/2017/11/kaspersky-nsa-malware.html]
[http://www.boannews.com/media/view.asp?idx=58103&mkind=1&kind=1]
카스퍼스키 안티바이러스 제품이 러시아 스파이가 NSA 직원의 컴퓨터로부터 기밀정보를 훔치도록 도왔다는 사실을 카스퍼스키 연구실은 다른 조사결과를 제시함으로써 부정하고 있다. 바로 해킹 당한 NSA 직원 컴퓨터는 이전부터 악성프로그램에 감염되었었다는 사실이다. 카스퍼스키는 NSA직원이 기밀 문서를 자택으로 가지고 갔으며, 이 정보가 해당 멀웨어에 의해 노출되었다는 것이다. 카스퍼스키 레포트에 따르면. 악성 백도어 공격은 NSA 직원이 Microsoft Office 2013.ISO를 설치할 때 감염되었으며, 이때 Smoke Loader로 알려진 Mokes 백도어가 포함되었다고 밝혀졌다. 한편 지난 달 카스퍼스키의 안티바이러스 프로그램이 NSA 기밀 문서를 훔칠 수 있도록 공격자를 도운것에는 명백한 증거가 존재하지 않으며, 카스퍼스키 연구실은 이를 해명하기 위해 지속적으로 노력중인것으로 확인된다.

 

3. [기사] [주간 악성링크] 워너크라이 유사 랜섬웨어 ‘워너 다이’ 등장 外
[http://www.boannews.com/media/view.asp?idx=58113&mkind=1&kind=1]
한 주간 워너크라이 랜섬웨어와 유사한 워너 다이 랜섬웨어가 새롭게 발견됐으며, 새로운 플래시 플레이어 취약점을 이용한 공격도 탐지됐다. 또한, OnePlus 제조사의 스마트폰에서는 백도어가 발견됐다. 이 뿐만 아니다. 피싱과 큐싱을 통한 모바일 타깃 공격도 탐지됐으며, 네이버 계정 탈취를 노린 피싱 사이트도 기승을 부리는 등 한 주간 다양한 보안이슈가 발생했다. 

-워너 다이 랜섬웨어 등장
워너크라이와 유사한 새로운 랜섬웨어가 등장했다. 지난 17일 발견된 해당 랜섬웨어는 ‘워너 다이’ 랜섬웨어로 명명됐다.하우리 최상명 CERT 실장은 “이번에 발견된 워너 다이 랜섬웨어는 파일명과 바탕화면, UI 등이 전 세계를 강타했던 워너크라이와 매우 유사하게 만들어졌다”고 밝혔다. 이로 인해 워너 다이 랜섬웨어와 워너크라이 랜섬웨어 제작자가 동일한지 여부에도 관심이 모아지고 있다. 이용자들은 워너 다이 랜섬웨어에 감염되지 않도록 OS, 프로그램, 백신 등을 최신 버전으로 업데이트해 유지하는 등 각별히 주의해야 한다. 

-신규 플래시 취약점 이용한 공격 주의
지난 17일에는 신규 플래시 플레이어 취약점을 악용한 공격이 탐지됐다. 북한 사이버 공격을 전문적으로 추적하고 연구하는 그룹에 따르면 새로운 플래시 플레이어 취약점을 이용한 공격이 탐지되고 있다며 이용자들의 주의를 당부했다.

-OnePlus의 스마트폰, 백도어 발견
스마트폰 제조업체 OnePlus의 거의 모든 스마트폰에서 백도어가 발견됐다. 더군다나 이번에 발견된 백도어는 OxygenOS를 사용하는 모든 OnePlus 기기에서 누구나 기기의 루트 접근 권한을 가질 수 있는 것으로 분석됐다. 

-DDE 기능 악용한 워드 악성파일 주의
최근 워드문서의 ‘DDE(Dynamic Data Exchange: 동적 데이터 교환)’ 기능을 이용한 국내 표적 공격이 발견되기도 했다.
-네이버 사칭 피싱 사이트, 계정정보 탈취
포털사이트 네이버의 계정 정보를 노린 탈취 활동도 잇따라 탐지되고 있다. 빛스캔이 발표한 ‘2017년 11월 2주차 인터넷 위협 분석 보고서’에 따르면 계정정보를 탈취하는 피싱 사이트가 탐지되고 있다며 주의를 당부했다. 피싱 사이트 위협 수준은 ‘주의’ 단계이며, 국내 최대 중고제품 거래사이트인 중고나라를 사칭한 피싱 또는 큐싱 사이트를 통해 계정정보 탈취가 감행되고 있는 것으로 분석됐다. 특히, 피싱과 큐싱을 통한 모바일 타깃 공격도 탐지되고 있는 상황이다. 

 

4. [기사] 파일공유 토렌트, 이번엔 한글 파일 위장한 악성파일 유포 

[http://www.boannews.com/media/view.asp?idx=58112&kind=1]
파일공유 사이트인 토렌트에서 악성파일 유포문제가 끊이지 않고 있다. 유명 웹하드 업체에서 약 1년 가까이 파밍 악성코드가 유포된 게 최근 본지 보도로 알려진 가운데 한 토렌트에서는 속도향상 패키지 속에 악성코드가 심어져 유포된 바 있다. 이어 지난 13일부터 일부 파일 공유 사이트(토렌트)를 통해 한글파일로 위장한 악성파일이 유포되고 있어 이용자들의 각별한 주의가 필요하다. 16일 이스트시큐리티에 따르면 한글 파일로 위장한 악성파일은 ‘[한글]2017 HWP2017’과 ‘HWP2017 한글 2017’ 등의 제목으로 마치 한글과컴퓨터(이하 한컴)사의 최신 문서 작성 소프트웨어처럼 위장하고 있는 것으로 드러났다. 현재 한컴사에서는 최근 ‘한컴오피스 2018’ 신제품을 출시했다. 하지만, ‘한글 2017’ 이름을 가진 제품은 존재하지 않는다. ‘NEO’ 버전이 ‘2018’ 이전의 정식 제품군에 속해 있는 상태다. 이에 사이버 범죄자들이 신규 한글 제품 출시에 맞춰 최신 버전 소프트웨어로 위장해 유포에 악용한 것으로 추정된다. 

 

5. [기사] EMOTET 트로잔 변형 발견
[http://www.securityweek.com/emotet-trojan-variant-evades-malware-analysis?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+Securityweek+%28SecurityWeek+RSS+Feed%29&utm_content=FeedBurner]

최근 Trend Micro 보안 연구원들에 의해 EMOTET 뱅킹 트로잔이 발견되었다. 해당 트로잔은 샌드박스와 멀웨어 분석을 회피하도록 설정되는 특징을 가지고 있다. Geodo라고도 불리는 EMOTET는 Dridex 와 Feodo 제품군과 연관된 일련의 멀웨어이다. 이것들은 주로 은행 기밀문서와 다른 민감한 정보를 훔치는데 사용되며, 다양한 악의적으로 조작된 코드를 실행하도록 한다. 새로운 변종은 또한 안티 바이러스 프로그램이 해당 멀웨어 감지하는 것을 회피하도록 설계된 특징을 가지고 있다. 최근 EMOTET C&C 인프라구조의 분석에 따르면, 하드코딩된 IP주소들을 이용하여 서버에 접속된것으로 확인되었다.

첨부파일 첨부파일이 없습니다.
태그