넷서포트 매니저의 악성 버전, 코로나 피싱 메일 타고 번져

수집 날짜

2020-05-26

원문 링크

https://www.boannews.com/media/view.asp?idx=88429

내용 요약

원격 접근 도구인 넷서포트 매니저(NetSupport Manager)를 퍼트리는 캠페인이 발견 됐다. 넷서포트 매니저는 원격 기술 지원 및 문제 해결을 위한 정상적인 도구이다. 이번 스피어 피싱 캠페인에 발견된 넷서포트 매니저는 공격자들이 악의적으로 변경해둔 악성 버전이다. 현재 코로나를 미끼로 악성 프로그램을 유포중이며 엑셀파일을 통해 공격이 시작된다. 악성 넷서포트는 RAT로서 C&C서버와 연결하여 명령을 실행하는 기능이 있다.

라크나로커 랜섬웨어, 피해자 시스템에 가상기계 설치

수집 날짜

2020-05-26

원문 링크

https://www.boannews.com/media/view.asp?idx=88394

내용 요약

라그나로커(Ragnar Locker)라는 랜섬웨어에 새로운 기능이 추가되었다. 기존 라그나로커는 원격 데스크톱 프로토콜(RDP) 연결을 겨냥하여 네트워크를 침해하는 방법을 선호하는 것으로 알려져 있었다. 또한 암호화 전에 데이터를 훔쳐내어 이중 협박 전략을 사용한다. 최근에 소포스에서 공개한 새로운 기능으로는 Virtual Box 설치하고 가상환경 속에 랜섬웨어를 설치 및 실행하여 탐지를 피해가는 기능이다. 로컬PC의 보안 장치들은 랜섬웨어를 탐지하거나 삭제할수 없으나 가상 환경 속에 랜섬웨어는 로컬PC를 암호화 시키면서 탐지를 우회한다.

세계 첫 양자보안 스마트폰 "현존 기술론 해킹 불가능"

수집 날짜

2020-05-26

원문 링크

https://www.zdnet.co.kr/view/?no=20200525163023

내용 요약

SK텔레콤이 삼성전자와 협업을 통해 '갤럭시A 퀀텀'을 출시했다. 세계 최초로 양자보안을 적용한 스마트 폰이다. 갤럭시A 퀀텀에는 SK 텔레콤 자회사 IDQ가 개발한 양자난수생서(QRNG) 칩셋이 탑재됐다.  해당 칩셋은 스마트폰 안에서 무작위의 양자 난수를 만들어 낸다. 적용 방식은 기존방식과 동일하게 1단계로 로그인 절차를 걸쳐 2단계 양자 기반의 일회용 비밀번호(OTP) 인증을하는 2단계 인증 방식이다. 갤럭시 A 퀀텀은 복제가 불가능하고, 중첩성, 불확정성 등의 역학적 특징을 갖는 양자를 활용하여 현존하는 기술로는 스마트폰 해킹이 불가능하다.

중동 노리는 APT 그룹 샤퍼, 자급자족 전략 통해 캠페인 벌여

수집 날짜

2020-05-26

원문 링크

https://www.boannews.com/media/view.asp?idx=88428

내용 요약

샤퍼(Chafer)라는 APT 그룹이 새로운 사이버 범죄 캠페인을 시작하였다. 샤퍼는 2014년부터 활동해온 APT 그룹으로 주로 중동 국가의 사회 기반 시설들을 공격해왔다. 샤퍼 그룹은 이번 미 정부 기관들과 운송 기업들을 공격한것으로 알려졌다. 이번 공격에 사용된 기법은 "리빙 오프 더 랜드(Living off the land)" 기법으로 공격 도구를 자체적으로 만든 것이 아닌 시스템에 있는 도구들이나 흔히 구할수 있는 컴퓨터 도구를 악용하여 목적을 달성하였다. 피해자 시스템에 있는 유틸리티를 공격에 활용하기 때문에 탐지가 어려운 상태이다. 해당 캠페이는 보안업체 비트디펜더가 발견하였으며 현재 캠페인은 중단된 상태라고 한다. 해당 국가나 지역의 담당 기관이 캠페인에 대해 조치를 취한것으로 보인다.

Silent Night Banking Trojan Charges Top Dollar on the Underground

수집 날짜

2020-05-26

원문 링크

https://threatpost.com/silent-night-banking-trojan/155981/

내용 요약

Silent Night 라고 불리는 Zeus 뱅킹 트로이 목마의 업그레이드 버전이 발견돼었다. Google Chrome, Mozilla Firefox 및 Internet Explorer를 지원하는 웹 주입 및 폼 그래버, HiddenVNC 및 SOCKS5를 통한 프록시 서비스, 브라우저 활동을 위한 키로거, 스크린샷 촬영 기능, Chrome, Firefox 및 IE용 쿠키 스틸러, Chrome용 암호 스틸러등의 기능을 가지고 있다고 한다. 모든 모듈들은 난독화 및 랜덤화 되어 보관한다고 한다.

올해 두 번 랜섬웨어에 당한 톨, 돈 내지 않자 범인들이 정보 공개

수집 날짜

2020-05-25

원문 링크

https://www.boannews.com/media/view.asp?idx=88370&kind=4&sub_kind=

내용 요약

호주의 대형 선박 업체인 톨(Toll)이 얼마 전 랜섬웨어 네필림(Nefillim)에 두번째 공격을 당했다. 이 때 민감한 정보 일부가 유출된 흔적도 함께 나왔다. 해커들을 약 200GB의 데이터를 훔쳐 냈다고 주장하며 톨 측에서 돈을 내지 않겠다고 발표하자 일부 정보를 공개하였다.

영국 저가항공사 이지젯, 900만명 개인정보 털렸다

수집 날짜

2020-05-25

원문 링크

https://www.zdnet.co.kr/view/?no=20200520084232

내용 요약

저가 항공사 '이지젯'(Easyjet)이 해커들의 공격을 받아 900만여명의 개인정보가 유출됐다. 고객 이메일 주소와 여행 명세서 2,208명의 신용카드 내역 데이터가 유출되었으며 현재 사고 시점에 대해 밝히지 않은 상태이다. 현재 이지젯 측은 정보가 유출된 고객과 연락하고 있으며 사기행각에 데이터가 사용될 수 있으니 주의를 당부했다.

중국 추정 APT 그룹, 국내 게임사·언론사 해킹 노렸다

수집 날짜

2020-05-25

원문 링크

https://www.boannews.com/media/view.asp?idx=88312&kind=&sub_kind=

내용 요약

최근 중국APT 그룹의 공격 활동이 증가했다. 지난 4월경부터 최근까지 국내 온라인 게임사, 언론사 등을 대상으로 스피어 피싱 공격이 다수 발견됐으며, 주로 외부에 많이 공개된 그룹메일 계정으로 공격이 수행된 것으로 드러났다. 해커는 공격 악성 워드 파일(DOCX) 문서를 사용했으며, ‘직원 활동 보너스 신청서.docx’, ‘직무 요구와 대우.docx’ 등의 파일 이름을 사용했다. 또한 최근에는 회사 내부의 사내 문서나 이력서를 사칭한 파일로도 공격이 수행되고 있다. 발견된 악성 문서들은 처음 실행된 후, 마치 개인정보 옵션 화면처럼 조작한 이미지를 보여주고, 보안 및 개인정보보호를 위해 매크로 실행이 필요하다는 식으로 ‘콘텐츠 사용’ 기능을 허용하도록 유도한다.

워드프레스 플러그인에 존재하는 치명적 취약점…3만개 이상 사이트 해킹 위험

수집 날짜

2020-05-25

원문 링크

https://www.dailysecu.com/news/articleView.html?idxno=108940

내용 요약

공격자가 WP Product Review Lite 워드프레스 플러그인에 존재하는 치명적인 취약점을 악용해 악성 코드를 주입, 잠재적으로 취약한 웹 사이트를 인수할 수 있다는 사실이 밝혀졌다. 패치가 공개됐지만 여전히 3만여 개 사이트는 패치를 적용하지 않아 위험한 상황이다. 해당 취약점은 수쿠리 랩 연구원들에 의해 발견되었고, 인증되지 않은 원격 공격자에 의해 악용될 수 있는 영구적인 XSS 취약점이다. 공격자는 워드프레스 사용자 입력 데이터 삭제 기능을 우회해 Stored XSS 문제를 악용할 수 있다. 결함을 유발하면 공격자는 대상 웹 사이트의 데이터베이스에 저장된 모든 제품에 악성 스크립트를 삽입할 수 있다. 사이트 관리자가 손상된 제품에 접근하도록 속인 다음 해당 제품을 악성 사이트로 리디렉션하거나 관리자를 대신하여 인증하기 위한 세션 쿠키를 훔칠 수 있다.

Backdoor, Devil Shadow Botnet Hidden in Fake Zoom Installers

수집 날짜

2020-05-25

원문 링크

https://blog.trendmicro.com/trendlabs-security-intelligence/backdoor-devil-shadow-botnet-hidden-in-fake-zoom-installers/?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+Anti-MalwareBlog+%28Trendlabs+Security+Intelligence+Blog%29

내용 요약

줌 설치 프로그램으로 위장한 가짜 프로그램이 발견됐다. 해당 멀웨어는 정상적인 Zoom 설치 프로그램으로 보이지만 Devil Shadow 봇넷과 백도어를 설치한다. 정상적인 Zoom 설치 프로그램에 비해 파일 크기가 크며 다른 앱의 번들로 묶여 있을 가능성이 있다. 원격 액세스 기능이 있으며 설치시 실행중인 모든 원격 유틸리티를 종료하는 기능이 있다. 해당 멀웨어에 감염되지 않으려면 정상적인 다운로드 경로를 통해 설치를 권고한다.

큐냅 NAS에 설치된 포토 스테이션에서 치명적 취약점 4개 발견

수집 날짜

2020-05-22

원문 링크

https://www.boannews.com/media/view.asp?idx=88339&kind=&sub_kind=

내용 요약

큐냅이 개발한 NAS 내부 포토 스테이션 애플리케이션에서 작년 4가지 취약점이 발견됐었다. 큐냅의 포토 스테이션은 사진앨범 애플리케이션으로, 큐냅 NAS 장비의 약 80% 설치되어 있다. 해당 취약점을 연속으로 익스플로잇 할 경우 루트 권한으로 원격 코드 실행이 가능하다. 패치 버전은 작년 11월 발표되었으며 패치 버전으로 업데이트를 해야한다.

이스라엘 인터넷홈페이지 수백개 해킹…"이스라엘 파멸" 메시지

수집 날짜

2020-05-22

원문 링크

https://www.yna.co.kr/view/AKR20200521179300079

내용 요약

5/21 이스라엘 '예루살렘의 날' 기념일에 맞춰 반이스라엘 사이버 공격이 등장했다. 이스라엘 내 사이버 보안업체 '체크포인트'는 해당 공격을 받은 인터넷 홈페이지의 화면에는 반이스라엘 내용을 담은 동영상이 올라왔고, 당일 약  300여개의 홈페이지가 공격을 당했다고 발표했다.

수억 건의 이메일 정보 거래하던 의문의 해커, 우크라이나서 체포

수집 날짜

2020-05-22

원문 링크

https://www.boannews.com/media/view.asp?idx=88349&kind=4&sub_kind=

내용 요약

다크웹에서 '컬렉션 1'이라는 데이터 덤프에서 수많은 크리덴셜 정보를 추출해 판매했던 해커가 우크라이나에서 체포됐다고 한다. 사닉스(Sanix)라는 이름으로 활동하던 용의자는 약 7억 7300만건의 이메일 주소와 2100만 건의 비밀번호를 작년부터 거래해온 혐의를 받고 있다. '컬렉션 1'은 2019년에 다크웹에 등장한 이메일주소 DB로 이메일 주소/비밀번호 조합으로 저장되어 있다고 한다. 사닉스가 2019년 유명한 보안 블로거와 인터뷰 당시 '컬렉션 1'와 비슷한 DB가 몇개 더 있고 총 4TB 정도 된다고 했었다. 이번에 발견된 것은 2TB 정도로 해당 인터뷰가 사실이라면 남은 DB를 더 찾아야 되는 상황이다.

랜섬웨어 생태계의 최신 유행 모두 담은 넷워커, 주목해야 할 위협

수집 날짜

2020-05-22

원문 링크

https://www.boannews.com/media/view.asp?idx=88341&kind=4&sub_kind=

내용 요약

호주의 톨(Toll) 그룹을 감염시켰던 넷워커 랜섬웨어가 RaaS 형태로 범죄자들에게 공급되기 시작했다. 기존의 RaaS 형태와는 다르게 대규모 공격 인프라를 가지고 있는 사이버 범죄자들과 주로 교류하고 있으며 파트너쉽 신청서를 받아 심사를 통해 선정한다고 한다. 넷워커 운경자들은 기술과 전략적인 측면에서 최신 유행을 갖추고 있는 것으로 보인다.

Critical Cisco Bug in Unified CCX Allows Remote Code Execution

수집 날짜

2020-05-22

원문 링크

https://threatpost.com/critical-cisco-rce-flaw-unified-ccx/155980/

내용 요약

시스코 고객 상호작용 관리 솔루션인 Cisco Unified Contact Center Express (CCX)에서 원격 코드 실행 취약점이 발견되었다. Java 원격 관리 인터페이스에서 역직렬화와 비직렬화로 인한 취약점으로 해당 결함을 악용할 경우 임의의 코드를 실행할 수 있다. Cisco Unified CCX 버전 12.0 이하에서 영향을 받으며 패치된 버전은 12.5이다.

또 공정위 사칭…'비다르' 악성코드 유포 주의

수집 날짜

2020-05-15

원문 링크

http://www.inews24.com/view/1264620

내용 요약

안랩에서 최근 공정거래위원회를 사칭한 메일로 감염PC 정보를 유출한 '비다르'악성코드 유포 사례를 발견했다며 13일 주의를 당부했다. '전산 및 비전산자료 보존 요청서.zip' 압축파일로 해당 파일 압축해제시 pdf, hwp 파일이 존재한다. 두 문서는 정상문서를 가장한 .exe 파일로 하나라도 실행하면 비다르 악성코드에 감염된다. 비다르 악성코드란 암호화폐 지갑 정보, 메신저 계정정보, 인터넷 브라우저 정보등을 유출하는 악성코드이다.

아누비스 멀웨어, 사용자가 화면 들여다보면 ‘동작 그만!’

수집 날짜

2020-05-15

원문 링크

https://www.boannews.com/media/view.asp?idx=88157&kind=14

내용 요약

구글의 안드로이드 기반 스마트폰들을 지속적으로 공격하는데 사용되는 멀웨어 아누비스가 업그레이드되어 발견되었다. 최근 버전에는 피해자가 현재 자신의 스마트폰 화면을 들여다보고 있는지 확인하는 기능까지 더했다고 한다. 또한 감염된 장비의 위치를 파악하는 기능도 추가한 것으로 보인다. 아누비스는 2017년 후반부터 활동해온 멀웨어로 주로 사이버 정찰활동을 위해 사용되었으나 시간이 지나면서 뱅킹 트로이목마로 변했다. 이들의 목표는 크리덴셜 탈취, 키로거 설치, 일부 랜섬웨어 공격이며 최근에는 금융 및 뱅킹 관련 앱들이 표적이 되고 있다.

썬더볼트 설치된 수백만대 PC 위협할 수 있는 취약점 발견돼

수집 날짜

2020-05-15

원문 링크

https://www.dailysecu.com/news/articleView.html?idxno=108674

내용 요약

2011년 이후 출시된 썬더볼트(Thunderbolt)가 설치된 모든 컴퓨터에 대해 공격자가 암호화된 드라이브 및 메모리에서 데이터를 빠르게 훔쳐낼 수 있는 9가지의 공격 시나리오가 공개됐다. 사용자가 무인 컴퓨터 잠금, 보안 부팅 설정, 강력한 BIOS 사용 및 운영 체제 계정 암호, 전체 디스크 암호화 같은 보안 대처를 했더라도 작동할수 있다고 경고 했다. 마이크로소프트는 썬터볼트3에 대해 직접 메모리 접근(DMA) 공격 취약성에 대한 우려로 서피스 기기에 이를 포함시키지 않았었다. 일부 윈도우10 OEM은 썬더볼트를 채택했으며 2011년 이후 모든 애플 맥 컴퓨터에는 썬더볼트가 포함되어 있다. 인텔과 애플은 썬더 스파이에 대한 해결책을 제공하지 않기로 결정했다.

대형 보험사 마젤란 헬스, 랜섬웨어에 당하고 정보도 빼앗기고

수집 날짜

2020-05-15

원문 링크

https://www.boannews.com/media/view.asp?idx=88187

내용 요약

보험사 마젤란 헬스가 랜섬웨어 공격을 받은 후 데이터 유출까지 겪었다. 4/11 마젤란 헬스 측에서 발표한 내용에 의하면 공격은 오랜 기간 이어졌고 랜섬웨어는 가장 마지막에 발견되었다고 한다. 피해를 입은 것으로 추정되는 고객들에게 사과 및 고지 메일을 보내고 있으며 정확하게 유출된 데이터가 파악되지 않았다. 현재 조사중으로 잠시 동안 시스템 마비가 있었고 기밀과 개인정보에 해당하는 데이터가 유출됐다고 한다. 최근 랜섬웨어 공격자들은 피해자들에게 확실하게 돈을 받기위해 데이터를 암호화 하기전 유출하는 추세이다. 이는 메이즈랜섬웨어가 유행시킨것으로 많은 랜섬웨어 운영자들이 이 전략을 구사하는 중이다.

ProLock Ransomware가 네트워크 액세스를 위해 QakBot 트로이 목마와 협력

수집 날짜

2020-05-15

원문 링크

https://www.bleepingcomputer.com/news/security/prolock-ransomware-teams-up-with-qakbot-trojan-for-network-access/

내용 요약

최근 ProLock이라는 랜섬웨어 기업과 지방 정부를 대상으로 엄청난 몸값을 요구하며 주목을 받고 있다. 가장 최근 피해자로 알려진 것은 ATM 제공업체 'Diebold Nixdorf'이며 해당 공격으로 회사 네트워크가 일부 중단 되기도 했다.

ProLock은 네트워크 크기에 따라 175,000 달러에서 660,000 달러 이상의 몸값을 요구하고 있다. ProLock 랜섬웨어는 Sodinokibi 및 Maze와 같은 유명 랜섬웨어 그룹과 유사한 기술을 쓰며 MegaCortex 랜섬웨어와도 협력하는 QakBot (QBot) 트로이 목마를 통한 배포와 원격 데스크톱 (RDP) 서버 액세스라는 두 가지 주요 경로를 사용한다.

ATM 제조사 디볼드 닉스도프, 랜섬웨어에 감염돼 일부 시스템 마비

수집 날짜

2020-05-13

원문 링크

https://www.boannews.com/media/view.asp?idx=88124

내용 요약

ATM 제조사 디볼드 닉스도프가 랜섬웨어에 공격을 당해 일부 시스템이 마비됐었다. 해당 업체는 2018년에도 공격을 당한바 있다. 이번 디볼드를 공격한 건 프로락이라는 랜섬웨어라고 한다. 프로락은 포드락커의 후속작으로 알려져 있다. 이번 프로락 공격자들이 디볼드에 요구한 금액은 정확하게 밝혀지지 않은 상태이다. 현재 디볼드 닉스도프가 아직 정확한 정보는 미공개하고 있다.

인기 데이팅 앱 모비프렌즈에서 350만 개인정보 유출돼

수집 날짜

2020-05-13

원문 링크

https://www.boannews.com/media/view.asp?idx=88132&kind=4&sub_kind=

내용 요약

인기 데이팅 앱 모비프렌즈에서 350만 개인정보가 유출돼었다. 현재 해당 정보는 다크웹의 암시장에서 활발히 거래되고 있는 중이라고 한다. 현재 유출된 정보로 알려진 것은 생년월일, 성별, 웹사이트 내 활동 현황, 핸드폰 번호, 사용자 이름, 이메일 주소, 해시 처리 된 비밀번호라고 한다. 아직 어떻게 개인정보가 유출됐는지 정확하게 밝혀지지 않은 상태이다.

코로나 타고 부활한 스핑크스 멀웨어, 더 은밀하고 지독해져

수집 날짜

2020-05-13

원문 링크

https://www.boannews.com/media/view.asp?idx=88130&kind=4&sub_kind=

내용 요약

제우스 스핑크스라는 뱅킹 트로이 목마가 코로나를 미끼로 급증했다. 해당 악성코드의 최종 목적은 개인정보 탈취이다. 스핑크스 멀웨어는 시스템 리부트시 사라지는 것을 막기 위해 RUN 키를 윈도우 레지스트리에 추가한다. 또 페이로드 형태에 따라 실행파일이나 DLL의 방식을 취하며 브라우저 기능들을 후킹할 수도 있다고 한다.

미 정보당국, 북 해킹조직 악성코드 추가 공개

수집 날짜

2020-05-13

원문 링크

https://www.rfa.org/korean/in_focus/nk_nuclear_talks/nkhacking-05122020151407.html

내용 요약

미 정보당국에서 12일 북한 당국이 배후로 있는 해킹 조직, ‘히든 코브라’가 사이버 공격에 사용한 새로운 악성 소프트웨어 표본에 대한 분석 보고서를 공개했다. 신종 악성코드 3개를 각각 ‘코퍼헷지(Copperhedge)’, ‘테인티드스크라이브(Taintedscribe)’, ‘페블대쉬(Pebbledash)’로 명명했다. 해당 악성코드의 배후는 히든 코브라가 배후로 추정되고 있다. 히든 코브라는 라자루스라는 이름으로 잘 알려져 있는 북한 정부 지원 APT 그룹이다. 미 정보당국은 북한의 사이버 위협에 대한 경각심을 당부했다.

WordPress Page Builder Plugin Bugs Threaten 1 Million Sites with Full Takeover

수집 날짜

2020-05-13

원문 링크

https://threatpost.com/wordpress-page-builder-bugs-takeover/155659/

내용 요약

워드프레스 플러그인 SiteOrigin의 Page Builder에서 2가지 취약점이 발견되었다. 첫번째 취약점은 플러그인에 내장된 라이브 편집기에서 발견된 파일업로드 컨텐츠 필터링 문제이고, 두번째는 AJAX 액션 wp_ajax_so_panels_builder_content에 연결된 플러그인의 action_builder_content 함수에서 CRSF to XSS 문제이다. 발견된 취약점을 익스플로잇 할 경우 CSRF, XSS 공격을 할 수 있다.

웹호스팅 업체 아이네임즈, ‘랜섬웨어’ 공격으로 웹포스팅 서버 40대 감염

수집 날짜

2020-05-11

원문 링크

http://www.itworld.co.kr/news/152136

내용 요약

5/8 웹호스팅업체 아이넴임즈 웹호스팅 서버 40대가 랜섬웨어 감염됐다. 11일  현재 DB 서버 15대 중 80%가량 복구를 진행했고, 웹서버 25대 중 7대 가량의 서버 복구를 진행했다. 아직 복구작업을 진행하고 있어 완벽한 정상화까지는 시간이 조금 더 필요한 상황이라고 한다. 아이네임즈 측은 자세한 랜섬웨어 감염 경로나 방법에 대해서는 자세히 밝히지 않았다.

시트릭스 쉐어파일 심각한 보안취약점…개인 파일 접근 허용…주의

수집 날짜

2020-05-11

원문 링크

https://www.dailysecu.com/news/articleView.html?idxno=108589

내용 요약

시트릭스(Citrix)가 쉐어파일(ShareFile) 스토리지 영역 컨트롤러 버전 다수에서 인증 없이 개인 데이터 영역에 접근하는데 악용될 수 있는 취약점 3개를 패치했다고 5일 밝혔다쉐어파일은 기업용 콘텐츠 협업, 파일 공유 및 동기화를 위한 서비스다. 이 보안 취약점 3개는 CVE-2020-7473, CVE-2020-8982, CVE-2020-8983로 등록되었으며 쉐어파일 스토리지 영역 컨트롤러 버전 5.9.0, 5.8.0, 5.7.0, 5.6.0, 5.5.0에 존재한다. 따라서 5.9.1, 5.8.1, 5.7.1, 5.6.1, 5.5.1 버전은 이 취약점에 영향을 받지 않는다. 하지만 시트릭스 측은 “취약한 스토리지 영역 컨트롤러 버전을 통해 생성된 스토리지 영역은, 컨트롤러가 업데이트된 이후에도 위험하다”고 밝혔다.

北 통일정책 연구원 사칭한 '해킹' 주의..해킹조직 ‘금성121’ 대북 주요인사 공격

수집 날짜

2020-05-11

원문 링크

http://kpenews.com/View.aspx?No=838966

내용 요약

지난 10일 '금성121' 이며 새로운 공격 시나리오로 APT 공격을 시도한 정황을 발견됐다. 북 통일정책 연구원을 사칭한 수법으로 대북 종사자의 개인정보를 탈취하려는 사이버 공격이 등장해 주의를 요구한다. 이들은 한달넘게 일상적인 대화만 나누면서 의심을 피하는 치밀함을 보였다. 공격 대상의 개인정보 수집 후 URL 링크나 악성파일을 배포하지 않고 일정기간동안 친분을 쌓는다. 가상의 인물로 위장하여 카카오톡으로 접근하고 최소 1개월 이상 친분을 유지하다 상대방이 자신을 신뢰하면 악성 자료를 보내면서 해킹을 시도한다.

"중국, 美백신 정보 훔치고···한국은 미·일 관리 e메일 해킹"

수집 날짜

2020-05-11

원문 링크

https://news.joins.com/article/23773580

내용 요약

코로나 팬데믹으로 2차 확산위험을 무릅쓰고 경제활동 재개에 들어가면서 백신과 치료제 개발 정보를 확보하려는 해킹시도가 늘어나고 있다. 뉴욕타임스에서 10일 충국 해커들은 미국 연구소의 코로나 백신 치료제 개발정보를 훔치려 하며, 한국의 해커도 WHO와 동맹국인 미국,일본 관리들의 e메일을 해킹시도했다는 내용을 발표했다. 각국이 사이버 경쟁을 하는것은 코로나 팬데믹 속에서 자국의 우위를 차지하려는 목표에서다.

North Korean hackers infect real 2FA app to compromise Macs

수집 날짜

2020-05-11

원문 링크

https://www.bleepingcomputer.com/news/security/north-korean-hackers-infect-real-2fa-app-to-compromise-macs/

내용 요약

북한 라자루스 APT 그룹은 원격 접속 트로이 목마 "Dacls" 배포를 위하여 2단계 인증 (2FA) 앱에 악성코드를 숨겨왔다. Dacls는 윈도우와 리눅스 플랫폼에서 발견된 MacOS용 RAT 모델을 대상으로 한다. "Dacls" 악성코드는 윈도우나 리눅스용에서 동일하게 작송한다.  공격에 사용된 인증서와 개인의 파일 이름이 모두 동일하다.

대만 국영 석유기업 중국발 추정 랜섬웨어 공격받아

수집 날짜

2020-05-07

원문 링크

https://www.mk.co.kr/news/world/view/2020/05/463829/

내용 요약

5/4일 대만 국영 석유기업이 중국발로 추정되는 랜섬웨어 공격을 받았다고 대만언론이 6일 보도했다. 이로 인해 CPC의 컴퓨터 7천여대가 일시 마비되는 바람에 산하 주유소 업무에 일부 차질이 빚어졌다고 전했다. 하지만 석유화학, 천연가스 등 주요 석유제품 생산 및 시스템에는 영향이 없었다고 한다. 5일에는 대만플라스틱석유화학(FPCC)과 반도체 기업인 파워테크테크놀로지(PTI)가 해킹 공격을 받았다. PTI의 북부 신주(新竹)현의 후커우(湖口) 소재 공장 3곳이 랜섬웨어 공격으로 한때 생산에 지장을 받기도 했다. CPC와 FPCC는 국가기반시설 규정에 따라 '정보안전사건'으로 당국에 신고해 대만의 국가안보를 유지하고 중대 범죄를 수사하는 기구인 법무부 산하 조사국이 긴급 조사에 들어갔다. 이와 관련, EBC 방송은 국가안보 관계자가 CPC를 공격한 바이러스의 인터넷 프로토콜(IP)을 분석한 결과 이번 공격이 중국에서 시작된 것이라고 말했다고 보도했다. 관계자는 또 이들 기업에 대한 공격이 랜섬웨어로 위장한 중국의 지능형지속보안위협(APT)으로, 자료의 취득이나 악의적인 공격을 위해 계획된 것으로 보인다고 전했다.

또 다른 고 기반 멀웨어 카이지, 중국에서 나타난 IoT 봇넷

수집 날짜

2020-05-07

원문 링크

https://www.boannews.com/media/view.asp?idx=87997

내용 요약

고 프로그래밍 언어로 만들어진 새로운 봇넷 멀웨어가 발견됐다. 해당 봇넷은 리눅스를 기반으로 한 시스템들을 표적으로 삼아 많은 IOT 장비들이 위험한 상황이라고 한다. 새로 발견된 봇넷은 카이지(Kaiji)라는 이름이 불리며 중국에서 발견됐다고 한다. SSH 브루트 포스에 의해 전파되며, 루트 사용자만을 노린다고 한다. 카이지 봇넷의 주 목표는 디도스 공격으로 루트 접근을 통해 독자적인 네트워크 패킷을 생성하는 방식으로 디도스를 진행한다.

카이지 봇넷 멀웨어가 실행되면, 제일 먼저 /tmp/seeintlog이라는 디렉토리에 스스로를 복제한다. 그런 후 두 번째 인스턴스가 고유한 고루틴(goroutine) 내에서 실행되며, 고유 고루틴이 현재까지 총 13개 발견됐다고 한다. 이 13개 고루틴이 하는 일은 1) C&C 서버와 연결, 2) C&C 서버로부터 추가 명령 가져오기(디도스, SSH 브루트포스 명령, 셸 명령, 자가 삭제 등), 3) 다른 호스트로 연결, 4) 공격 지속성 확보 위한 장치 마련, 5) CPU 사용량 확인, 6) 루트킷을 /etc/32679로 복사 후 30초에 한 번씩 실행시키기 등을 포함한다고 한다. 해당 디도스는 백지에서 개발된것으로 보인다는 특이점을 갖고 있다.

“iOS, 안전하지 않다…iOS 타깃 공격 급증”

수집 날짜

2020-05-07

원문 링크

http://www.datanet.co.kr/news/articleView.html?idxno=145508

내용 요약

최근 IOS 기기를 타깃으로 한 공격이 급증하고 있다. 카스퍼스키 "2020년 1분기 APT 위협 활동 보고서"에 따르면 중국어를 사용하는 APT 그룹 '투세일 정크(Twosail Junk)'는 홍콩 사용자를 대상으로 원격 IOS 익스플로잇 체인을 사용하는 워터링 홀 공격을 진행했다. 또한 북한 APT '라자루스'는 MacOS를 대상으로 '애플제우스(AppleJeus)'캠페인 공격 중이며 암호화폐 관련 악성코드를 배포하고 있다고 한다. 또한 현재 코로나 이슈를 악용한 여러 APT 공격이 증가하고 있기에 IOS 사용자들도 보안의 주의를 기울여야 한다.

SAP "클라우드 제품서 보안 허점 발견"

수집 날짜

2020-05-07

원문 링크

https://www.zdnet.co.kr/view/?no=20200506115257

내용 요약

글로벌 소프트웨어 기업 SAP가 클라우드 제품군 중 일부에 취약점이 발견되었다. 미국지디넷은 SAP가 지난 4일 자사 클라우드 제품 중 일부가 계약 상 또는 법적 보안 표준을 충족하지 못하고 있으며, 대응 조치를 시작했다는 내용을 담은 성명서를 발표했다고 보도했다. 성명서에는 취약점에 대한 구체적 내용은 나와 있지 않다. 아직 보안 업데이트가 이뤄지지 않았기 때문에 구체적 내용을 밝히면 해커가 취약점을 악용할 수도 있다. 회사는 SAP 석세스 팩터, SAP 컨커, SAP 캘리더스 클라우드 제품군, SAP C4C/세일즈 클라우드, SAP 클라우드 플랫폼, SAP 애널리틱스 클라우드 등 취약점 영향 범주에 포함되는 제품군들에 대해 우선순위를 정하고 문제 해결을 실시하고 있다. 아직 해당 취약점을 악용한 보안사고는 발견되지 않았으며 SAP는 이 취약점에 영향을 받는 제품군에 대한 보안 업데이트를 2분기 내로 완료할 예정이다.

Large scale Snake Ransomware campaign targets healthcare, more

수집 날짜

2020-05-07

원문 링크

https://www.bleepingcomputer.com/news/security/large-scale-snake-ransomware-campaign-targets-healthcare-more/

내용 요약

5/4 유럽 최대 병원 제공업체인 프레세니우스 그룹이 Snake 랜섬웨어 공격을 받았다고한다. Snake 랜섬웨어 운영자 들은 지난 몇일동안 수많은 사업체와 하나의 의료기관을 감염시킨 캠페인을 전세계적으로 진행했다. Snake 랜섬웨어 운영자들은 암호화하기전에 데이터를 훔쳤다고 주장하고 있으며 48시간 이내에 돈을 지불하지 않을경우 해당 DB를 유출하겠다고 협박하고 있는 상황이다. Blaiping Computer는 아직 정확하게 DB를 가지고 있는지 파악되지 않았으나 도난당했다는 가정하에 데이터 침해로 가정하고 대응해야 한다고 권고한다.

GDPR 준수 도와준다는 사이트에서 민감 정보 노출시켜

수집 날짜

2020-04-29

원문 링크

https://www.boannews.com/media/view.asp?idx=87891&kind=4&sub_kind=

내용 요약

유럽의 프라이버시 보호 규정인 GDPR의 준수와 관련된 정보를 제공하고 조언까지 해주는 GDPR 컴플라이언스 웹사이트인 GDPR.EU에서 MySQL 데이터베이스의 설정 오류로 정보 노출 사고가 발생했다. GDPR.EU이라는 사이트의 .git 누구나 열람할 수 있도록 설정돼 있었다. 깃은 파일 변경 이력을 전부 기록하며, 접근하는 데 성공하면 소스코드, 서버 접근 키, 데이터베이스 비밀번호, 호스팅 된 파일, 암호화 설트 등 민감한 정보를 열람할 수 있다. 노출된 건 외부로 공개되면 안 되는 내부 시스템들이었으며 GDPR.EU에서는 최초 신고후 4일만에 문제를 해결했다.

산업 통제 시스템을 모니터링하는 도구에서 디도스 취약점 발견돼

수집 날짜

2020-04-29

원문 링크

https://www.boannews.com/media/view.asp?idx=87888&kind=4&sub_kind=

내용 요약

산업 자동화 전문 기업인 인덕티브 오토메이션(Inductive Automation)에서 만든 이그니션 게이트웨이(Ignition Gateway)에서 디도스 공격을 유발하는 치명적인 취약점이 발견됐다. 이그니션 게이트웨이는 산업 통제 시스템을 웹 브라우저를 통해 모니터링 할 수 있게 해주는 제품이다. 발견된 취약점 CVE-2020-10641은 부적절한 접근 제어 취약점이며 3월 중순에 패치됐다(8.0.10 버전). 해당 취약점은 인증 없이 DB에 기록을 하드디스크가 다 찰때까지 남길수 있고 결과적으로 장비는 정상 작동이 불가하게 된다. 자세한 보고서는 (https://www.us-cert.gov/ics/advisories/icsa-20-112-01)서 상세히 열람이 가능하다.

셰이드 랜섬웨어의 공격자들, 복호화 키 공개하며 은퇴 선언

수집 날짜

2020-04-29

원문 링크

https://www.boannews.com/media/view.asp?idx=87886&kind=4&sub_kind=

내용 요약

4/27 셰이드(Shade) 랜섬웨어 개발자들이 활동 중단을 선언하고 복호화 키를 무료로 공개했다. 셰이드는 트롤데시(Trodesh)나 엔코더858(Encoder.858)등의 이름으로 불리며 2014년 부터 활동해 왔다. 주로 집(.zip) 압축 파일로 유포되었으며 시스템들을 감염시키는게 가능하다. 2016년에는 백도어가 추가되어 실질적인 피해를 입히는 멀웨어 중 하나로 뽑혔었다. 현재 버전은 AES 256 알고리즘을 통해 약 340종의 파일을 암호화 할수 있다. 운영자들은 복호화 키 75여개와 복호화에 필요한 유틸리티도 함께 공개했다.

이스라엘 '수자원 시설' 노리는 사이버공격 포착

수집 날짜

2020-04-29

원문 링크

https://www.zdnet.co.kr/view/?no=20200428144916

내용 요약

4/23 이스라엘 국가 사이버청(INCD)이 에너지,수력 분야 기업을 대상으로 인터넷 연결시스템 패스워드 변경 권고문을 발송했다. 만약 패스워드를 변경하지 못할 경우 적절한 보안 시스템이 갖춰질 때까지 시스템을 오프라인으로 전환하라고 권고했다. 이스라엘 정부는 폐수처리장, 펌프장, 하수구 등에 대한 사이버 공격이 보고됐다고 언급했느나 자세한 내용은 밝히지 않았다. 이슬람 해킹 그룹 'J.E.아미(J.E.Army)'가 해당공격을 포착했으며 팔레스타인에서 운영되는 것으로 알려진 해킹 그룹 '가자 사이버갱(Gaza Cybergang)'으로 추정하고 있다.

‘Black Rose Lucy’ is Back, Now Pushing Ransomware

수집 날짜

2020-04-29

원문 링크

https://threatpost.com/black-rose-lucy-is-back-now-pushing-ransomware/155265/

내용 요약

안드로이드 기반 드로퍼 악성 프로그램인 'Black Rose Lucy'가 정보탈취에서 랜섬웨어로 전환했다. 루시 드로퍼로 포장된 비디오 플레이어를 다운로드하도록 유인하여 악성 멀웨어를 설치한다. MainActivity 모듈에서 애플리케이션이 악의적인 서비스를 트리거하고, 그런 다음 명령 동작으로 호출되는 BroadcastReceiver를 등록한다. 해당과정을 통해 기기의 화면을 계속 켜놓는 '웨이크락' 서비스와 와이파이(WifiLock)를 계속 켜놓는 '위피락' 서비스를 획득한 후 장치파일을 암호화 시킨다. 이번에 발견된 'Black Rose Lucy'는 C2 서버도 강화되었다. 공격자들은 IP 주소가 아닌 도메인을 사용한다. C2 서버를 다운시킬 수는 있지만 새로운 IP 주소로 쉽게 해결될 수 있어 악성코드를 무력화하기 훨씬 어려워 졌다. 보안 연구원들은 모바일 멀웨어가 점점 더 정교해지고 있으며 추후 랜섬웨어 공격을 조심할 것을 당부했다.