[주의] 이력서로 위장한 makop 랜섬웨어 (04.13)

수집 날짜

2020-04-14

원문 링크

https://asec.ahnlab.com/1314

내용 요약

4월 13일 이력서로 위장해 유포중인 makop 랜섬웨어가 발견되었다. 해당 랜섬웨어는 이력서로 위장하여 유포중이며 메일내 첨부파일에는 한글문서를 가장한 .exe 실행파일이 존재한다. 어눌한 한국말로 보아 한국인은 아닌것으로 보인다. 감염시 원본파일명.[랜덤8자].[akzhq412@protonmail.ch].makop 로 파일명이 변경된다.

“코로나19 관련 도메인 10만개 증가…악성코드 감염ㆍ사이버공격 주의”

수집 날짜

2020-04-14

원문 링크

https://www.dailysecu.com/news/articleView.html?idxno=107793

내용 요약

코로나 바이러스를 악용하는 사이버 위협 사례가 증가하고 있다.

1. 코로나 관련 피싱/멀웨어 배포

코로나 관련 키워드로 이메일 등 링크로 유인하여 RAT Tool(NetWire, NanoCore, LokiBot) 및 기타 멀웨어 공격

2. 페이크 애플리케이션

코로나 정보 제공 앱을 가장한 악성 애플리케이션 배포중

3. 코로나 관련 도메인 네임

코로나를 포함한 도메인이 10만건이 넘는것으로 확인되었다.

내가 접속한 ‘성인사이트’ 모두 안다고? 다크웹 개인정보 악용한 협박 메일

수집 날짜

2020-04-14

원문 링크

https://www.boannews.com/media/view.asp?idx=87585

내용 요약

다크웹에 유출된 개인정보를 악용하여 협박메일이 유포중인것이 발견되었다. 협박메일은 자신의 컴퓨터에 키로거, 원격제어 도구 등을 모두 설치해서 '성인사이트' 접속한 것을 모두 녹화해 두었으니 유포를 막으려면 비트코인을 달라는 내용이었다. 메일제목에 피해자가 기존에 사용하면 패스워드를 기입하여 그럴듯하게 가장하였다. 해당 사례처럼 해킹사고로 유출된 개인정보가 다크웹 등에 판매 또는 공개되면서 유출된 정보를 악용한 2차 피해가 우려되는 상황이다.

애플도 안심할 수 없다! 애플 사용자 노린 피싱 등장

수집 날짜

2020-04-14

원문 링크

https://www.boannews.com/media/view.asp?idx=87554

내용 요약

최근 애플 사용자 계정정보를 노린 피싱메일 공격들이 발견되었다. 해당 메일 제목은 '알 수 없는 기기를 사용하여 로그인'이란 제목으로 클릭을 유도하고 있다. 수신자가 링크를 클릭할 경우 허의 로그인 정보를 포함한 PDF 파일이 다운로드 되고 PDF에 삽입된 링크를 클릭할 경우 계정과 패스워드를 가로채기 위한 피싱사이트로 이동된다. 피싱사이트에서 계정정보를 입력하면 해당 정보를 수집하고 추가적으로 더 자세한 정보를 수집하기위한 2차 페이지로 이동된다.

Overlay Malware Leverages Chrome Browser, Targets Banks and Heads to Spain

수집 날짜

2020-04-14

원문 링크

https://threatpost.com/overlay-malware-exploits-chrome-browser-targets-banks-and-heads-to-spain/154713/

내용 요약

Grandoreiro라는 뱅킹 멀웨어는 가짜 크롬브라우저 플러그인("Google Plugin" 버전 1.5.0로 가장)을 사용하여 고객 크리덴셜을 훔치는 원격 오버레이 악성코드 공격을 한다. 그란도레로(Grandoreiro)는 원격 오버레이 뱅킹 트로이 목마의 일종으로, 공격자가 장치를 추월하고 피해자가 온라인 뱅킹 계정에 접속할 때 전체 화면 오버레이 이미지를 표시할수 있도록 고안되었다. 즉 온라인 계정 접속할때 가짜 이미지 사이트를 보여주고 고객 크리덴셜을 수집하여 뒤에서는 계좌에 돈을 빼내는 방법이다. 해당 공격은 브라징의 은행을 타깃으로 하고 있는 것으로 알려졌는데 최근 스페인 은행이 공격되면서 사업을 확대하고 있다는 것이 발견되었다. 해당 악성 프로그램은 코로나를 주제로한 비디오(스팸 SMS)를 악용하여 URL 클릭을 유도하여 유포되고 있다.

URL 클릭 -> 파일 다운로드 유도 -> MSI 파일다운 -> C2 서버와 연결

C2 서버를 통해 기기 정보 수집, 원격 액세스 기능을 수행할 수 있다.

새로운 IoT 봇넷 다크넥서스, 모듈 구성이라 강력하고 유연해

수집 날짜

2020-04-13

원문 링크

https://www.boannews.com/media/view.asp?idx=87529&kind=4&sub_kind=

내용 요약

보안 업체 비트디펜더가 새로운 IOT 봇넷 다크넥서스를 발견했다. 이번에 발견된 봇넷은 모듈 방식으로 구성되어 있으며 이전 세대의 봇넷 멀웨어인 큐봇과 미라이의 코드 일부를 그대로 내포하고 있기도 하다. 봇넷의 페이로드는 12가지 유형의  CPU 아키텍처에 따라 컴파일링 되었고, 피해자의 환경설정에 따라 동적 배표가 이뤄진다. 그 외에도 '점수 매기기' 시스템도 갖추고 있어 피해자의 시스템 내에서 어떤 프로세스가 추후 위협이 될수 있는지 평가한 후에 해당 프로세스를 강제로 종료 시키기도 한다. 다크넥서스의 최종목적은 디도스 공격 대행 서비스인것으로 보이며 공격을 위한 악성 트래픽을 브라우저가 생성한 안전한 트래픽으로 위장시킬수도 있다.

줌 크리덴셜, 다크웹에서 거래되기 시작해

수집 날짜

2020-04-13

원문 링크

https://www.boannews.com/media/view.asp?idx=87555&kind=4&sub_kind=

내용 요약

화상 회의 플랫폼인 줌에서 '줌 폭탄(Zoom bombing)'공격이 이어짐에 따라 사용자 기업들이 비밀번호를 설정하는 등 화상회의 세션에 대한 보안을 강화하기 시작했다. 그러자 줌 회의 세션 크리덴셜 시장이 다크웹에서 형성되기 시작했다. 위협 첩보 전문업체 인트사이프(InSights)가 다크웹에서 줌 계정 2300개의 DB 거래를 처음 발견하여 보고서를 발표하기도 했다. 지난 10월 보안 전문가들은 줌과 시스코 웹엑스(WebEx) 화상 회의 어플리케이션에서 비밀번호가 걸려있지 않은 회의를 자동화로 찾는 취약점을 발견하였고 해당 업체들은 패치로 해결을 하였다. 하지만 아직 업그레이드를 하지 않거나 비밀번호를 미설정하는 사용자들도 있어 주의가 요구된다.

코로나19 틈타 "저금리 대출" 사기 극성...'전화 가로채기' 수법

수집 날짜

2020-04-13

원문 링크

https://www.ytn.co.kr/_ln/0103_202004130622457909

내용 요약

코로나 19 사태를 악용하여 생계가 어려워진 사람들에게 보이스피싱, 스미싱등 기승을 부리고 있다. 필수 대출 절차라며 의심없이 애플리케이션 설치를 유도하고 기존에 대출을 문제 삼으며 약정 위반이니 돈을 당장 갚으라고 압박하여 갈취를 한다. 설치된 앱에는 악성코드가 심어져 있고 전화 가로 채기 수법으로 피해자를 혼란스럽게 한다.

안랩, 4·15 총선 노린 악성코드 발견…北 해킹그룹 ‘킴수키’가 만든 듯

수집 날짜

2020-04-13

원문 링크

http://www.donga.com/news/article/all/20200412/100621539/1

내용 요약

보안 업체 안랩은 4/15 국회의원 선거 관련 문서 형태의 악성코드가 유포되고 있다고 12일 밝혔다. 현재 '킴수키' 조직으로 추정되고 있으며 해당 문서를 열게되면 C&C 서버를 통해 악성파일이 다운로드 받아진다. 해당 파일은 정보유출을 목적으로 제작되어 있으며 PC 정보를 수집하여 C&C 서버로 보낸다.

New Wiper Malware impersonates security researchers as prank

수집 날짜

2020-04-13

원문 링크

https://www.bleepingcomputer.com/news/security/new-wiper-malware-impersonates-security-researchers-as-prank/

내용 요약

장난으로 보안 연구자를 가장한 새로운 와이퍼 멀웨어가 발견됐다. 해당 멀웨어는  windows가 시작하기 전에 컴퓨터를 잠근 뒤 유명 보안연구원 2명을 사칭하여 메세지를 띄운다. "SentinelOne Labs Ransomware" 라는 또다른 변종은 'Vitali Kremez'(보안연구원)만을 대상으로 그의 이메일주소와 전화번호를 공개하고 있다. Windows가 시작되기전에 컴퓨터를 잠근 뒤 돈을 요구하는 악성코드는 운영체제가 시작되지 않도록 컴퓨터의 '마스터 부트 레코드'를 대체하고 대신 몸값을 요구하는 메세지를 표시하기 때문에 MBRLockers라고 불린다. 이런 유형의 감염은 페티아와 같은 랜섬웨어 공격에 이용되거나 사람들이 자신의 파일에 접근하는 것을 막기 위한 파괴적인 와이퍼로 이용된다. (와이퍼는 감염된 컴퓨터의 하드 드라이브를 지우려는 의도의 멀웨어 클래스입니다.)

주의! 21대 국회의원 선거관련 악성 워드문서 유포 중

수집 날짜

2020-04-10

원문 링크

https://ahnlabasec.tistory.com/1312

내용 요약

21대 국회의원 선거가 닷새 앞으로 다가온 가운데 이를 악용한 악성코드가 유포돼 이용자 주의가 요구된다. 안랩 시큐리티대응센터(ASEC)는 9일 21대 국회의원 선거 관련 문서를 사칭한 악성코드가 유포되고 있다면서 이용자 주의를 당부했다 .공격자는 '21대 국회의원 선거 관련(20200401)'이라는 제목으로 문서 파일을 제작했다. 파일 본문에는 국회 의석수 현황이라고 적은 후 교섭단체·정당별 의석수 현황을 지역구와 비례대표로 구분해 표기했다. 워드 문서처럼 보이는 이 파일을 열면 다운로드를 시도하는 화면이 나타난다. 특정 인터넷 주소(URL)에서 악성 파일을 다운로드하도록 설계됐다. 워드 문서 내 개체 파일 타깃 항목에 의해 다운로드 기능이 동작한다. 다운로드가 끝나면 특정 주소로 이용자 정보를 유출한다.

파워포인트를 통한 ‘호버 위드 파워’ 공격, 클릭 없이도 멀웨어 설치

수집 날짜

2020-04-10

원문 링크

https://www.boannews.com/media/view.asp?idx=87509

내용 요약

파워포인트 파일을 통해 멀웨어를 다운로드 받게 하는 공격 기법이 발견됐다. 이 공격의 특징은 피해자가 악성 링크를 클릭하지 않고, ‘마우스오버’만 실행해도(즉, 마우스 커서를 링크 위에 가져다 놓기만 해도) 멀웨어가 설치되기 시작한다는 것이다. 그러나 마이크로소프트는 이를 대단히 큰 위험으로 받아들이지 않고 있다. 마우스오버 만으로 멀웨어가 다운로드 되긴 하지만, 팝업 창이 하나 뜨고 피해자가 ‘확인’을 눌러야 하기 때문이다. 이 공격 기법에 ‘호버 위드 파워(Hover with Power)’라는 이름을 붙이고 MS 측에 알렸다. 하지만 마이크로소프트의 보안 대응 센터(MSRC)는 “소셜 엔지니어링 요소가 포함된 공격이기 때문에 해당 문제점을 취약점이라고 보기 힘들다”는 답장을 보내왔다. “안전한 컴퓨터 사용 습관이 있다면 얼마든지 막을 수 있다”는 것이다. 상세한 익스플로잇 방법은 깃허브(https://github.com/ethanhunnt/Hover_with_Power/blob/master/README.md)를 통해 공개되어 있다. 페이지를 맨 아래까지 내리면 익스플로잇이 이뤄지는 과정을 애니메이션으로도 볼 수 있다.

[긴급] ‘긴급재난자금’ 상품권 사칭한 스미싱 유포

수집 날짜

2020-04-10

원문 링크

https://www.boannews.com/media/view.asp?idx=87514

내용 요약

최근 정부와 각 지자체의 ‘코로나19 관련 긴급 재난 지원금’이 이슈가 되고 있는 가운데, 4월 9일 ‘긴급재난자금’을 사칭한 스미싱이 유포되고 있어 주의가 요구된다고 이스트시큐리티 ESRC(센터장 문종현)가 밝혔다. 최근 코로나19 바이러스 감염으로 인한 직·간접적 피해를 입은 국민들의 삶을 지원하고 경기를 활성화시키기 위한 정부 긴급재난지원금 지급이 논의되고 있으며, 일부 지자체는 이미 인터넷으로 신청을 접수중인 상태다. 특히 재난기본소득에 대한 지급을 최초로 결정했던 경기도의 경우 4월 9일 15시부터 재난기본소득 온라인 신청을 오픈할 예정인데, 공격자들은 ‘긴급재난자금’에 사용자들의 관심이 쏠리고 있는 이러한 상황을 악용해 스미싱 공격을 수행했다. 만약, 메시지에 포함된 단축 URL을 클릭하게 되면 악성앱이 다운로드되며, 감염시 사용자 스마트폰에서 sms정보를 탈취한다

원격수업 보안사고 막으려면…

수집 날짜

2020-04-10

원문 링크

http://www.inews24.com/view/1256937

내용 요약

안랩은 신종 코로나바이러스 감염증(코로나19)로 인한 온라인 개학을 맞아 원격수업 시 보안사고 피해를 막기 위한 '슬기로운 원격생활 보안수칙'을 10일 발표했다. 이 수칙에 따르면 온라인 수업에 참가하는 학생들은 수업 참가 인터넷주소(URL)나 비밀번호, 수업화면 캡처 등 수업 정보를 SNS 등 외부에 공유하지 말아야 한다. 또한 노트북, PC, 스마트폰 등 수업용 기기에서 불법 무료 동영상 사이트 같은 유해 사이트에 접속해선 안 된다. 주요 프로그램을 사칭한 피싱 사이트가 있을 수 있는 만큼 수업용 프로그램은 반드시 공식 사이트에서만 다운로드해야 한다.

Unique P2P Architecture Gives DDG Botnet ‘Unstoppable’ Status

수집 날짜

2020-04-10

원문 링크

https://threatpost.com/p2p-ddg-botnet-unstoppable/154650/

내용 요약

DDG는 세계 최초의 P2P 기반 암호화 봇넷일 것이다. DDG로 알려진 동전을 채우는 봇넷은 연초부터 지난 3개월 동안 16개의 다른 업데이트를 발표하며 활발한 활동을 보였다. 연구원들에 따르면, 가장 두드러진 것은, 그것의 운영자들이 DDG를 매우 정교하고 "엄청나게 막을 수 없는" 위협으로 만든 독점적인 P2P 메커니즘을 채택했다는 것이다. Netlab 360에서 2018년 1월 처음 발견했으며 2019년 1월 총 5,695개의 봇이 발견되었을때 백업 C2 통신에 사용되는 Memberlist 기반 P2P 메커니즘을 추가한 것을 발견하였다. 현재 DDG 봇넷은 최신 버전에서 여전히 정적 C2 통신을 위해 IP나 DNS를 사용하지만 새로운 P2P 네트워크는 "C2를 분해해도 감염된 기기는 계속 가서 채굴 작업을 수행할 것"으로 작용한다 흥미롭게도 DDG는 기업 인트라넷 상의 서버만을 대상으로 하는 틈새 공격 벡터를 가지고 있으며, 특히 단일 사용자 이름 루트에 대한 SSH 암호가 약한 서버를 대상으로 한다. 넷랩 360 연구진은 이 회사가 목표물에 대해 시도하는 1만7907개의 하드코딩된 패스워드를 가지고 있다고 말했다.

[긴급] 코로나19 키워드로 국내 유입된 영문 악성메일 주의보

수집 날짜

2020-04-09

원문 링크

https://www.boannews.com/media/view.asp?idx=87447

내용 요약

코로나19를 키워드로 다양한 악성메일이 유포되고 있는 가운데, 최근에는 확산방지 가이드라인을 사칭한 영문 악성메일이 발견돼 사용자의 주의가 요구된다. 보안전문업체 이스트시큐리티 시큐리티대응센터(ESRC)는 코로나19(Covid-19) 바이러스 키워드를 활용하여 작성된 악성 이메일들이 국내로 지속적으로 유입되고 있다면서, 특히 코로나 19 바이러스가 워낙 글로벌한 이슈이다 보니 영문으로 작성된 코로나 19 바이러스 관련 이메일도 자주 발견되고 있다고 밝혔다. 첨부파일을 열람할 경우 악성코드가 실행되며, 사용자PC에 백도어를 설치하고 추가 악성코드를 설치하는 등의 악의적인 행위를 수행하므로 코로나19 바이러스 관련 이메일을 수신했을 경우 되도록 열람을 자제해 달라고 ESRC는 권고했다.

경찰청 사칭한 ‘경찰청 초대’ 악성 메일 유포됐다

수집 날짜

2020-04-09

원문 링크

https://www.boannews.com/media/view.asp?idx=87476

내용 요약

최근 경찰청을 사칭한 악성메일이 발견돼 사용자들의 주의가 요구된다. 이스트시큐리티 ESRC(시큐리티대응센터)는 7일 오후부터 경찰청을 사칭하고, 악성파일이 첨부된 악성메일이 발견됐다고 밝혔다. 메일에는 문서.iso 파일이 첨부되어 있으며, 압축파일로 풀어보면 ‘문서.exe’ 파일이 포함되어 있다. 최초 첨부 파일인 ‘문서.exe’은 닷넷 파일로 ‘Remcos’ 페이로드를 인젝션하는 기능을 수행한다. Remcos 악성코드는 명령제어 악성코드로, 명령제어(C&C) 통신 이후 공격자 명령에 따라 △키로깅 △파일 통제(삭제/다운로드/업로드) △프로세스 통제 △레지스트리 통제 △‘cmd.exe’ 실행 및 결과 업로드 △음성 녹음 △화면 녹화 △브라우저 정보 탈취 △시스템 종료 및 재시작과 같은 기능을 수행한다. 파일 다운로드 및 업로드 코드를 살펴보면, 해당 명령에 따라 각각 감염 PC에 추가적으로 악성코드 다운로드 및 드롭과 정보 탈취가 이루어 질 수 있다.

러시아 마트료시카 인형과 닮은 안드로이드 멀웨어 캠페인 발견돼

수집 날짜

2020-04-09

원문 링크

https://www.boannews.com/media/view.asp?idx=87472

내용 요약

삭제가 불가능한 멀웨어인 엑스헬퍼(xHelper)가 발견됐다. 안드로이드 장비들을 감염시키고 있으며, 종국에는 트리아다(Triada)라는 트로이목마를 설치하는 것으로 분석됐다. 엑스헬퍼 페이로드는 사용자의 고유 ID나 생산자, 모델명, 펌웨어 버전 등 핑거프린팅에 관여되는 정보를 수집한다. 이 정보는 원격에 있는 공격자들의 서버로 전송되며, 또 다른 드로퍼가 4번 설치된다.  최종 설치되는 트리아다는 여러 가지 익스플로잇을 실행해 루트 권한을 가져가는 기능을 가지고 있다. 카스퍼스키는 안드로이드 6과 7을 기반으로 한 중국 제품들이 특히 취약하다고 경고했다. 공격자는 루트 권한 획득 후 안드로이드 시스템 부팅 시 시스템 파티션이 읽기 전용 모드로 마운팅 되는 걸 변경할 수 있다고 한다. 공격 지속성을 확보한 이후 트리아다는 추가 악성 프로그램을 다운로드 받아 설치한다. 현재까지는 슈퍼유저용 명령을 실행하는 백도어들이 주로 설치되고 있다.  공장 초기화 해도 삭제되지 않아, 장비 리플래시를 하든가 펌웨어를 다른 것으로 대체해야 한다.

파이어아이,‘취약점 관리를 위한 인텔리전스 리포트’ 발표

수집 날짜

2020-04-09

원문 링크

http://www.denews.co.kr/news/articleView.html?idxno=12719

내용 요약

파이어아이가 ‘취약점 관리를 위한 인텔리전스 리포트’를 발표했다. 파이어아이 맨디언트 위협 인텔리전스(Mandiant Threat Intelligence) 팀에 따르면 제로데이 공격은 2019년 크게 증가했다. 지난 한 해 발견된 제로데이 공격 수가 지난 3년간 일어난 공격을 모두 더한 수를 넘어섰을 정도다. 또한 제로데이 취약점을 이용하는 공격 그룹의 유형도 이전보다 확대됐다. 구매한 사이버 공격 도구와 서비스를 이용해 제로데이 취약점을 노리고 공격한 사례는 2017년 말부터 크게 증가했다. 지역적 측면에서는 중동지역을 표적으로 한 제로데이 공격 사례가 증가했으며, 해당 지역과 연관성이 있는 공격그룹에 의한 것으로 관찰됐다.

New IoT botnet launches stealthy DDoS attacks, spreads malware

수집 날짜

2020-04-09

원문 링크

https://www.bleepingcomputer.com/news/security/new-iot-botnet-launches-stealthy-ddos-attacks-spreads-malware/

내용 요약

새로운 IoT 봇넷 은밀한 DDoS 공격 실행, 악성 프로그램 배포

새로운 봇넷은 12개의 CPU 아키텍처를 위해 컴파일된 페이로드(payload)를 이용해 IoT 기기를 적극적으로 공략해 여러 종류의 디도스(DDoS)를 출시하고 다양한 종류의 악성 프로그램을 확산시키고 있다. 다크 넥서스 봇넷은 비트디펜더 연구자들에 의해 이름이 붙여진 것으로, 처음 발견된 이후 매우 빠른 개발 과정을 거쳤다는 것을 발견했다. 비트디펜더의 보고서에 따라 2019년 12월부터 2020년 3월 사이에 새로운 기능과 개선점을 포함한 약 40가지 버전(버전 4.0부터 8.6까지)이 출시되었다. 봇 바이너리에서 발견된 문자열과 봇 바이너리의 이름에 근거하여, 맬웨어는 그리스로 추정된다.

620만 가입자 스타일쉐어, 해킹으로 고객 개인정보 유출

수집 날짜

2020-04-08

원문 링크

https://www.boannews.com/media/view.asp?idx=87446&kind=&sub_kind=

내용 요약

620만 가입자의 패션플랫폼 ‘스타일쉐어’가 해킹을 당해 고객 개인정보가 유출됐다고 밝혔다. 스타일쉐어는 홈페이지 공지를 통해 지난 4월 4일 서버접속 장애를 겪은 후, 외부 접속을 확인했다고 밝혔다. 스타일쉐어는 4월 4일 오후 9시 30분경 일시적인 서버접속 장애가 발생해 원인을 파악하던 중, 외부 접속자가 일부 회원 계정정보에 접근했다는 사실을 발견하고 즉시 모든 외부 침입자의 접속을 차단함과 동시에 한국인터넷진흥원에 개인정보 유출과 해킹신고를 접수했다고 설명했다. 이번 해킹에서 아이디, 사용자 이름, 일부 사용자의 생일, 배송지 정보, 성별, 암호화된 이메일 주소, 암호화된 전화번호 등이 유출됐지만, 이메일 주소와 전화번호는 안전하게 암호화 처리되어 있어 광고성 메일 또는 보이스피싱 등의 2차 피해 가능성이 없다고 스타일쉐어는 밝혔다.

“수업 중 음란물…” 줌 해킹 피해 계속되자 사용 중단 지시까지

수집 날짜

2020-04-08

원문 링크

https://www.wikitree.co.kr/articles/521221

내용 요약

화상회의 플랫폼 줌은 코로나바이러스의 세계적 대유행과 함께 급부상하며 많은 기업과 교육기관의 선택을 받았다. 그런데 줌의 보안이 취약하다는 지적이 끊이질 않고 있어 '줌 공격(ZOOM Bombing)'이라는 신조어까지 생겼다. 뉴욕타임스는 지난 3일 줌이 혐오와 폭력의 장이 될 가능성이 우려된다고 보도했다. 또한 줌 이용자의 개인 정보 노출에 대한 우려도 심각하다고 전해졌다.줌에 가입하면 고유한 회의룸 ID가 발급되는데 이를 추측하거나 검색한 누군가가 무단으로 화상회의실에 입장이 가능한 점도 문제가 되고 있다. 결국 뉴욕 교육청은 줌 사용을 금지했다고 6일 세계일보가 전했다. 와이어드는 이미 지난해 9월 줌 이용자의 노트북 카메라나 컴퓨터의 웹캠에 해커들이 쉽게 접속할 수 있다고 전했었다. 지난 2일 줌 CEO 에릭 유안은 보안상 취약한 줌의 허점에 대해 공식적으로 사과하며 해킹 등의 문제를 해결하겠다고 전한 바 있다.

인기 디지털 지갑 애플리케이션 키링, 수백만 사용자 정보 노출

수집 날짜

2020-04-08

원문 링크

https://www.boannews.com/media/view.asp?idx=87453&kind=14

내용 요약

인기 높은 디지털 지갑 애플리케이션인 키링(Key Ring)에서 사용자 정보 유출 사고가 발생했다고 VPN 보안 업체 vpn멘토(vpnMentor)가 발표했다. 키링은 사용자의 핸드폰에 디지털 지갑을 생성해 주는 앱이며, 회원증이나 고객 카드의 사진을 찍거나 스캔해서 업로드 하는 기능도 가지고 있다. 사용자들은 주로 이 기능을 활용해 신분증과 면허증, 신용카드 등을 보관한다. vpn멘토에 의하면 키링이 회사 차원에서 관리하고 있는 AWS S3 버킷이 잘못 설정되어 사용자들이 업로드하고 있는 데이터들이 전부 노출된 상태라고 한다. 이 때문에 조사를 확대시킨 vpn멘토는 키링 소유의 S3 버킷을 네 개 더 찾아냈고, 전부 설정이 잘못 되어 있는 상태였다. 하나 같이 민감한 데이터를 저장하고 있었다. 언제부터 S3 버킷이 인터넷에 노출되어 있었는지는 확실히 알 수 없다. vpn멘토가 스캔을 통해 민감한 데이터가 버젓이 공개되어 있는 걸 발견한 건 지난 1월의 일이다. 정확한 사태를 파악하고 키링과 AWS 측에 이를 알린 건 2월 18일이고, 해당 버킷들은 20일 즈음 전부 안전한 상태로 전환됐다. vpn멘토 측의 상세 발표문은 여기(https://www.vpnmentor.com/blog/report-keyring-leak/)서 열람이 가능하다.

애플, 사파리에서 제로데이 발견한 전문가에게 7만 5천 달러 수여

수집 날짜

2020-04-08

원문 링크

https://www.boannews.com/media/view.asp?idx=87447

내용 요약

애플이 한 보안 전문가에게 7만 5천 달러의 상금을 수여했다. 사파리 브라우저에서 총 7개의 제로데이를 발견했기 때문이다. 이 중 세 개만 익스플로잇 해도 iOS와 맥OS에 기본 탑재되어 있는 카메라와 마이크로폰에 접근할 수 있게 된다고 한다. 이로써 아이폰과 맥 사용자를 염탐할 수 있게 되는 것이다. 이 전문가는 라이언 피크렌(Ryan Pickren)으로, 이미 2019년 12월에 해당 취약점들을 전부 애플에 전달했다. 애플은 1월 28일 제일 먼저 사파리 13.0.5 버전을 통해 문제를 해결했다. 나머지 제로데이들은 3월 24일 발표된 사파리 13.1 버전을 맞아 사라졌다. 제로데이들의 관리 번호는 CVE-2020-3852, CVE-2020-3864, CVE-2020-3865, CVE-2020-3885, CVE-2020-3887, CVE-2020-9784, CVE-2020-9787이다.

NASA sees an “exponential” jump in malware attacks as personnel work from home

수집 날짜

2020-04-08

원문 링크

https://arstechnica.com/information-technology/2020/04/nasa-sees-an-exponential-jump-in-malware-attacks-as-personnel-work-from-home/

내용 요약

NASA는 지난 월요일 며칠 동안 직원들이 집에서 일할 때 악성 사이트 공격에 기하 급수적으로 증가한 악성 코드 공격과 두 배의 에이전시 디바이스 액세스를 경험했다고 밝혔다. 코로나 펜데믹으로 이메일 피싱 시도가 배로 늘어났으며, NASA 시스템에서 멀웨어 공격의 기하 급수적 증가, 사용자가 인터넷에 액세스하여 악의적인 사이트에 액세스하려고 시도하는 경우가 증가하였다. NASA는 직원들에게 민감한 정보, 사용자 이름 및 비밀번호에 대한 액세스, 서비스 거부 공격 수행, 정보 유포 및 APT 공격이 있으며, 사이버 범죄자들은 ​​악의적 인 첨부 파일과 사기성 웹 사이트에 대한 링크가 포함 된 전자 메일 전송을 증가시켜 피해자가 중요한 정보를 공개하도록 유도하고 NASA 시스템, 네트워크 및 데이터에 대한 액세스 권한을 부여하려고 시도했다고 공지했다.

Twitter warns users – Firefox might retain private messages

수집 날짜

2020-04-08

원문 링크

https://nakedsecurity.sophos.com/2020/04/07/twitter-warns-users-firefox-might-hold-on-to-private-messages/

내용 요약

Twitter 경고 – Firefox가 개인 메시지를 보관할 수 있음

트위터는 다음과 같은 내용의 "프라이버시"라는 태그가 붙은 블로그 기사를 게재했다. 모질라 파이어폭스가 캐시된 데이터를 저장하는 방식이 브라우저의 캐시에 무심코 저장되는 결과를 낳았을 수도 있다는 것을 알게 되었다. 이는 모질라 파이어폭스를 통해 공유 또는 공용 컴퓨터에서 트위터에 접속해 트위터 데이터 아카이브를 다운로드하거나 직접 메시지를 통해 미디어를 보내거나 받는 등의 조치를 취했다면, 트위터에서 로그아웃한 후에도 이 정보가 브라우저의 캐시에 저장되었을 수 있다는 것을 의미한다고 발표했다.

새로운 킨싱 멀웨어 캠페인 포착…도커 서버들 타깃

수집 날짜

2020-04-07

원문 링크

https://www.dailysecu.com/news/articleView.html?idxno=107538

내용 요약

클라우드 보안 회사 아쿠아 시큐리티(Aqua Security)의 지난 금요일 블로그 게시물에 따르면 작년에 시작된 암호채굴 캠페인이 여전히 진행중에 있다고 밝혔다. 이 공격은 도커 인스턴스를 대상으로 하는 멀웨어 캠페인 리스트 중 하나로 시스템이 손상될 경우 해커 그룹은 방대한 컴퓨팅 리소스에 무제한 접근이 가능하다. 아쿠아의 보안 연구원에 따르면 해커가 노출된 API 포트가 있는 도커 인스턴스를 찾으면 이 포트에서 제공하는 액세스를 사용하여 우분투 컨테이너를 가동하여 킨싱(Kinsing) 악성코드를 다운로드, 설치한다. 이 악성코드의 주요 목적은 해킹된 도커 인스턴스에서 암호화폐를 채굴하는 것이지만 보조 기능도 함께 제공된다. 여기에는 로컬로 실행될 수 있는 다른 멀웨어를 제거하는 스크립트를 실행하는 동시에 회사 컨테이너 네트워크로 확산하기 위해 로컬 SSH 자격증명을 수집하여 동일한 멀웨어로 다른 클라우드 시스템을 감염시키는 스크립트가 포함된다.

지난 2년동안 수많은 MS-SQL 서버를 감염시킨 중국발 공격 "볼가"

수집 날짜

2020-04-07

원문 링크

http://www.itworld.co.kr/news/149265

내용 요약

지난 2019년 12월부터 시작된 캠페인 볼가(Vollgar)는 중국으로 추정되고 있으며 2개의 C&C 플랫폼을 사용하는것으로 밝혀졌다. 공격자는 데이터베이스 서버 액세스 권한을 획득한 공격자는 구성을 변경해 MS-SQL을 통한 WMI 스크립팅과 명령어 실행을 활성화한다(관리자가 비활성화해둔 경우). 또한 cmd.exe, ftp.exe, 그리고 기타 중요한 바이너리를 실행 가능하도록 하고, 데이터베이스와 운영체제에 대한 백도어 관리 계정을 추가한다. 감염 과정에서 기존 악성코드가 시스템 재부팅 시에 자동으로 시작되거나 정상적인 실행 파일에 연결하기 위해 사용할 수 있는 여러 레지스트리 키가 삭제된다. 또한 배포된 페이로드(SQLAGENTIDC.exe 또는 SQLAGENTVDC.exe)는 실행 중인 프로세스에서 알려진 악성코드를 스캔해 제거하고, 이후 여러 원격 액세스 모듈과 XMRig 기반의 암호화 마이닝 프로그램을 다운로드한다. 원격 액세스 모듈은 22251, 9383, 3213 등이 포함된 다양한 포트로 C&C 도메인과 접촉한다. 크립토마이닝 구성요소는 서버의 CPU 리소스를 사용해 모네로(Monero)와 기타 VDS 또는 볼러(Vollar) 크립토코인을 채굴한다(그래서 이 공격의 이름도 볼가다). C&C 도메인도 무료 TLD 아래에서 이 코인의 이름을 사용한다. 현재 매일 평균 약 2,000대의 데이터베이스 서버를 감염시킨것으로 들어나 DB 서버를 인터넷에 불필요한 노출을 피해야한다.

정상 인증서에 숨은 섀도 포스, 7년간의 행적 드러나

수집 날짜

2020-04-07

원문 링크

https://www.ahnlab.com/kr/site/securityinfo/secunews/secuNewsView.do?curPage=1&menu_dist=2&seq=29129

내용 요약

2020년 1월 아사히 신문에서 미쓰시비 전기 회사가 대규모 사이버 공격을 받았다고 발표했다. 이 공격에는 오로라 판다(Aurora Panda), 엠디비(Emdivi), 틱(Tick), 블랙테크(BlackTech) 등 4 개의 공격 그룹이 관련되었다고 보도했다. 안랩은 이 그룹중 오로라 판다라는 그룹에 주목하여 분석한결과 오퍼레이션 섀도 포스(Operation Shadow Force)라는 공격 흔적을 발견했다. 오퍼레이션 섀도 포스(Operation Shadow Force)는 2013년 이후 2020년 현재까지 섀도 포스(Shadow Force)와 Wg드롭(Wgdrop)으로 대표되는 악성코드로 한국의 기업과 기관을 공격하는 그룹의 활동이다. 이 그룹의 확인된 최초 공격은 2013년 3월이지만 악성코드 제작 일자 등을 고려했을 때 2012년 이전에도 활동했을 가능성이 높다. 피해 시스템은 보통 윈도우 서버이며 공격자는 아직 확인되지 않은 방법으로 시스템에 침입한다. 많은 관련 악성코드는 aio.exe 파일을 통해 다운로드 되었다. SQL 관련 파일인 sqlservr.exe 파일에서 aio.exe 파일을 다운 로드 한 기록이 있어 공격자는 SQL 서버를 장악 후에 aio.exe 파일을 다운로드 했다고 생각된다. Htran(aio.exe) 파일을 통해 관련 악성코드를 다운로드 하고 윈도우 실행 파일을 패치시키는 Pemodifier (iatinfect.exe)로 정상 프로그램을 변조해 특정 DLL 파일이 함께 실행되도록 한다. 변조된 EXE 파일이 실행되고 섀도 포스(Shadow Force) 등의 악성 DLL이 함께 실행된다. 일부 시스템은 키로거, 화면 녹화 등의 추가 프로그램을 설치한다. 현재까지 자료를 유출하는 방식은 확인되지 않았다.

또 코로나와 WHO 사칭하는 공격! 이번엔 로키봇 심긴다

수집 날짜

2020-04-07

원문 링크

https://www.boannews.com/media/view.asp?idx=87426

내용 요약

포티가드(FortiGuard)에서 코로나 사태를 악용한 또 다른 피싱 캠페인중 트로이목마의 일종인 로키봇(LokiBot) 발견되어 발표했다. 메일은 영문으로 작성되어있지만 모국어를 구사하는 공격자는 아니라고 판돤되며 피해자를 속이기 위하여 코로나 감염예방을 위한 여러가지 정보를 본문에 작성하였다. 첨부파일은 COVID_19-WORLD HEALTH ORGANIZATION CDC_DOC.zip.arj이라는 이름을 가지고 있다. ARJ 압축파일이며 7-ZIP이라는 유틸리티로 압축을 해제할 수 있다. 이 압축파일을 다운로드 받아 해제하면 DOC.pdf.exe라는 파일이 나타난다. 클릭해 실행할 경우 로키봇이 설치된다. 로키봇은 정보를 탈취하는 트로이목마로 여러 가지 앱들에 저장된 크리덴셜을 찾아 외부로 보낸다. 이번 공격의 경우 정보가 전달되는 곳은 http://bslines.xyz/copy/five/fre.php다.  로키봇은 사이버 범죄자들 사이에서 꽤나 유명한 멀웨어다. 사용이 간단하며, 효과적으로 정보를 추출할 수 있다. 현재 이 캠페인을 통해 가장 많은 피해를 입은 국가는 터키, 포르투갈, 독일, 오스트리아, 미국인 것으로 나타났다.

Government VPN Servers Targeted in Zero-Day Attack

수집 날짜

2020-04-07

원문 링크

https://threatpost.com/government-vpn-servers-zero-day-attack/154472/

내용 요약

코로나 펜데믹으로 중국에서 원격으로 일하는 사람들이 늘자 DarkHotel APT그룹에서 VPN을 겨냥한 제로데이 공격이 발견되었다. Qihoo 360의 보안 분석가들에 따르면, 많은 중국 정부 기관들이 사용하는 중국 VPN 제공업체 SangFor에 대한 공격이 3월에 시작되었다. 그들은 4월 첫째 주 현재 여러 엔드포인트에 연결하는 최소 200대의 VPN 서버가 손상되었다고 덧붙였다. SangFor VPN은 클라이언트가 서버에 연결하기 시작하면 자동으로 트리거되는 업데이트에 취약성이 있다. 클라이언트는 연결된 VPN 서버의 고정 위치에 있는 구성 파일에서 [an] 업데이트를 받고, SangforUD.exe라는 프로그램을 다운로드한다. 클라이언트는 실행 파일을 다운로드하기 전에 보안 검사를 하지 않는다. 그 결과, 공격자들은 세션을 가로채고, 업데이트 구성 파일을 변경하고, 업데이트 프로그램을 자신의 악성 코드로 대체할 수 있다고 연구원들은 말했다.