Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 동향

앞 내용 보기 다음 내용 보기
보안 동향[2020년 10월 23일] 주요 보안 이슈
작성일 2020-10-23 조회 129

1. [기사] '사회적 거리두기'로 위장한 사이버 공격 주의
[http://www.cctvnews.co.kr/news/articleView.html?idxno=212007]
코로나19 확산 방지를 위한 ‘사회적 거리두기 조치 관련 내용’으로 위장한 악성 이메일이 유포되고 있어 주의가 필요하다. 이메일은 수도권 사회적 거리두기 2.5단계 조치에 따라, 특정 기업의 본사 방문 제한 협조를 요청하는 내용이다. 현재 이미 1단계로 하향 조정된 상황임에도 2.5단계 시행과 관련된 안내를 기재하고 있으며, 협조 기간도 2달여 전 날짜를 표기하는 등 현재와 동떨어진 내용을 담고 있다. MS워드로 작성된 문서 파일을 실행하면 MS-Word 프로그램 업그레이드 안내와 ‘콘텐츠 사용’ 버튼 클릭을 유도한다. 버튼을 클릭할 경우 악성 매크로 코드가 동작해 악성 서버와 통신하게 되며, 공격자 의도에 따라 악성 행위를 수행할 수 있는 상태로 감염된다.


2. [기사] 이란의 APT 단체 시드웜, 중동 지역에 ‘삭제형 공격’ 진행 중
[https://www.boannews.com/media/view.asp?idx=91970]
이란의 사이버 공격 단체인 시드웜(Seedworm)이 중동 지역의 정부 기관과 기업들을 공격하기 위해 여러 가지 새로운 도구들을 활용하기 시작했다. 현재 시드웜은 새로운 다운로더를 다양한 변종으로 변화시켜 활용 중인 것으로 보인다. 이 다운로더의 이름은 파우굽(PowGoop)으로, 난독화 처리되어 있는 파워셸 스크립트를 다운로드받아 복호화하는 기능을 가지고 있다. 여기에 더해 타노스(Thanos)라고 하는 랜섬웨어를 2차로 다운로드시키기도 한다. 시드웜의 공격 목적은 아직 정확히 밝혀지지 않고 있지만, 그동안 시드웜이 해온 것을 봤을 때 표적은 여전히 중동의 여러 조직인 것은 확실한 것으로 보인다.


3. [기사] 구글, 내부 보안 팀이 발견한 크롬 제로데이 취약점 패치해
[https://www.boannews.com/media/view.asp?idx=91964&page=1&kind=1]
구글이 업데이트를 통해 크롬 브라우저의 제로데이 취약점을 해결했다. 프리타입(FreeType) 폰트 렌더링 라이브러리에서 발견된 것으로 현재 해커들 사이에서 활발히 익스플로잇 되는 중이라고 한다. 구글 프로젝트 제로팀의 세르게이 글라주노브(Sergei Glazunov)가 발견한 이 취약점은 힙 버퍼 오버플로우(heap buffer overflow), CVE-2020-15999 번호가 부여됐다. 크롬의 제로데이 소식이 알려지자 여러 보안 전문가들이 크롬 브라우저를 업데이트하라는 목소리를 높이기 시작했다. 패치가 적용된 크롬 버전은 86.0.4240.111이다.


4. [기사] Telegram 채널로 제어 가능한 새로운 Windows RAT
[https://www.zdnet.com/article/new-windows-rat-can-be-controlled-via-a-telegram-channel/]
보안 연구원들은 러시아 지하 해킹 포럼에서 새로운 RAT(Remote Access Trojan)을 발견했다. T-RAT이라는 이름의 이 악성코드는 45달러에 구매할 수 있으며, 텔레그램 채널을 통해 감염된 시스템을 제어할 수 있는 기능이다. 저자는 구매자가 어느 위치에서나 감염된 컴퓨터에 더 빠르고 쉽게 접근할 수 있게 해주므로, RAT의 존재가 발견되기 전 피해자가 감염되자마자 데이터 도용 기능을 활성화할 수 있다고 주장한다. RAT의 Telegram 채널은 피해자의 파일 시스템과 민감한 데이터를 검색하고 키로거를 배치하는 등의 98개의 명령을 지원한다. Telegram의 명령 및 제어 시스템 사용은 최근 몇 년 동안 증가하고 있어 주의가 요구된다.


5. [기사] Ryuk 랜섬웨어에 타격을 입은 프랑스 IT 회사 Sopra Steria
[https://www.bleepingcomputer.com/news/security/french-it-giant-sopra-steria-hit-by-ryuk-ransomware/]
프랑스의 거대 IT 기업 Sopra Steria는 10월 20일 Ryuk 랜섬웨어로 네트워크 일부를 암호화 당했다. 블리핑컴퓨터는 유니버설헬스케어를 감염시킨 단체의 소행으로 보인다고 전했다. 이 해킹 그룹은 손상된 네트워크에 접속해 Ryuk나 Conti 랜섬웨어 감염을 배포할 수 있도록 하는 TrickBot 과 BazarLoader 감염으로 유명하다. BazarLoader는 은밀한 특성으로 인해 가치가 높은 대상에 대한 Ryuk 공격에 점점 더 많이 사용되고 있으며, TrickBot보다 덜 탐지된다.  Sopra Steria는 21일 사이버 공격을 당했다는 성명을 발표했지만, 공격에 대한 자세한 내용은 거의 밝히지 않았다.

첨부파일 첨부파일이 없습니다.
태그 Seedworm  CVE-2020-15999  T-RAT  BazarLoader