2020-05-07 News Cliping

대만 국영 석유기업 중국발 추정 랜섬웨어 공격받아
수집 날짜	2020-05-07
원문 링크	https://www.mk.co.kr/news/world/view/2020/05/463829/
내용 요약
5/4일 대만 국영 석유기업이 중국발로 추정되는 랜섬웨어 공격을 받았다고 대만언론이 6일 보도했다. 이로 인해 CPC의 컴퓨터 7천여대가 일시 마비되는 바람에 산하 주유소 업무에 일부 차질이 빚어졌다고 전했다. 하지만 석유화학, 천연가스 등 주요 석유제품 생산 및 시스템에는 영향이 없었다고 한다. 5일에는 대만플라스틱석유화학(FPCC)과 반도체 기업인 파워테크테크놀로지(PTI)가 해킹 공격을 받았다. PTI의 북부 신주(新竹)현의 후커우(湖口) 소재 공장 3곳이 랜섬웨어 공격으로 한때 생산에 지장을 받기도 했다. CPC와 FPCC는 국가기반시설 규정에 따라 '정보안전사건'으로 당국에 신고해 대만의 국가안보를 유지하고 중대 범죄를 수사하는 기구인 법무부 산하 조사국이 긴급 조사에 들어갔다. 이와 관련, EBC 방송은 국가안보 관계자가 CPC를 공격한 바이러스의 인터넷 프로토콜(IP)을 분석한 결과 이번 공격이 중국에서 시작된 것이라고 말했다고 보도했다. 관계자는 또 이들 기업에 대한 공격이 랜섬웨어로 위장한 중국의 지능형지속보안위협(APT)으로, 자료의 취득이나 악의적인 공격을 위해 계획된 것으로 보인다고 전했다.

또 다른 고 기반 멀웨어 카이지, 중국에서 나타난 IoT 봇넷
수집 날짜	2020-05-07
원문 링크	https://www.boannews.com/media/view.asp?idx=87997
내용 요약
고 프로그래밍 언어로 만들어진 새로운 봇넷 멀웨어가 발견됐다. 해당 봇넷은 리눅스를 기반으로 한 시스템들을 표적으로 삼아 많은 IOT 장비들이 위험한 상황이라고 한다. 새로 발견된 봇넷은 카이지(Kaiji)라는 이름이 불리며 중국에서 발견됐다고 한다. SSH 브루트 포스에 의해 전파되며, 루트 사용자만을 노린다고 한다. 카이지 봇넷의 주 목표는 디도스 공격으로 루트 접근을 통해 독자적인 네트워크 패킷을 생성하는 방식으로 디도스를 진행한다. 카이지 봇넷 멀웨어가 실행되면, 제일 먼저 /tmp/seeintlog이라는 디렉토리에 스스로를 복제한다. 그런 후 두 번째 인스턴스가 고유한 고루틴(goroutine) 내에서 실행되며, 고유 고루틴이 현재까지 총 13개 발견됐다고 한다. 이 13개 고루틴이 하는 일은 1) C&C 서버와 연결, 2) C&C 서버로부터 추가 명령 가져오기(디도스, SSH 브루트포스 명령, 셸 명령, 자가 삭제 등), 3) 다른 호스트로 연결, 4) 공격 지속성 확보 위한 장치 마련, 5) CPU 사용량 확인, 6) 루트킷을 /etc/32679로 복사 후 30초에 한 번씩 실행시키기 등을 포함한다고 한다. 해당 디도스는 백지에서 개발된것으로 보인다는 특이점을 갖고 있다.

“iOS, 안전하지 않다…iOS 타깃 공격 급증”
수집 날짜	2020-05-07
원문 링크	http://www.datanet.co.kr/news/articleView.html?idxno=145508
내용 요약
최근 IOS 기기를 타깃으로 한 공격이 급증하고 있다. 카스퍼스키 "2020년 1분기 APT 위협 활동 보고서"에 따르면 중국어를 사용하는 APT 그룹 '투세일 정크(Twosail Junk)'는 홍콩 사용자를 대상으로 원격 IOS 익스플로잇 체인을 사용하는 워터링 홀 공격을 진행했다. 또한 북한 APT '라자루스'는 MacOS를 대상으로 '애플제우스(AppleJeus)'캠페인 공격 중이며 암호화폐 관련 악성코드를 배포하고 있다고 한다. 또한 현재 코로나 이슈를 악용한 여러 APT 공격이 증가하고 있기에 IOS 사용자들도 보안의 주의를 기울여야 한다.

SAP "클라우드 제품서 보안 허점 발견"
수집 날짜	2020-05-07
원문 링크	https://www.zdnet.co.kr/view/?no=20200506115257
내용 요약
글로벌 소프트웨어 기업 SAP가 클라우드 제품군 중 일부에 취약점이 발견되었다. 미국지디넷은 SAP가 지난 4일 자사 클라우드 제품 중 일부가 계약 상 또는 법적 보안 표준을 충족하지 못하고 있으며, 대응 조치를 시작했다는 내용을 담은 성명서를 발표했다고 보도했다. 성명서에는 취약점에 대한 구체적 내용은 나와 있지 않다. 아직 보안 업데이트가 이뤄지지 않았기 때문에 구체적 내용을 밝히면 해커가 취약점을 악용할 수도 있다. 회사는 SAP 석세스 팩터, SAP 컨커, SAP 캘리더스 클라우드 제품군, SAP C4C/세일즈 클라우드, SAP 클라우드 플랫폼, SAP 애널리틱스 클라우드 등 취약점 영향 범주에 포함되는 제품군들에 대해 우선순위를 정하고 문제 해결을 실시하고 있다. 아직 해당 취약점을 악용한 보안사고는 발견되지 않았으며 SAP는 이 취약점에 영향을 받는 제품군에 대한 보안 업데이트를 2분기 내로 완료할 예정이다.

Large scale Snake Ransomware campaign targets healthcare, more
수집 날짜	2020-05-07
원문 링크	https://www.bleepingcomputer.com/news/security/large-scale-snake-ransomware-campaign-targets-healthcare-more/
내용 요약
5/4 유럽 최대 병원 제공업체인 프레세니우스 그룹이 Snake 랜섬웨어 공격을 받았다고한다. Snake 랜섬웨어 운영자 들은 지난 몇일동안 수많은 사업체와 하나의 의료기관을 감염시킨 캠페인을 전세계적으로 진행했다. Snake 랜섬웨어 운영자들은 암호화하기전에 데이터를 훔쳤다고 주장하고 있으며 48시간 이내에 돈을 지불하지 않을경우 해당 DB를 유출하겠다고 협박하고 있는 상황이다. Blaiping Computer는 아직 정확하게 DB를 가지고 있는지 파악되지 않았으나 도난당했다는 가정하에 데이터 침해로 가정하고 대응해야 한다고 권고한다.