해킹그룹 ‘APT32’, 코로나19 첩보수집 위해 활발히 활동 중…주의

수집 날짜

2020-04-24

원문 링크

https://www.dailysecu.com/news/articleView.html?idxno=108105

내용 요약

APT32 공격자, 스피어피싱 이메일통해 악성 첨부 파일 전달

파이어아이에서 코로나19 관련 정보를 수집하기 위해 정부지원을 받는 APT32 그룹이 활발히 활동하고 있는것이 발견되어 주의를 당부했다. APT32는 베트남 정부와 관련된 것으로 추정되며 코로나19가 처음 발견된 우한시 중국 비상관리부를 표적으로 여러차례 스피어피싱 메세지 공격을 하였다. 이들이 주로 사용하는 악성코드는 OUNDBITE, WINDSHIELD, PHOREAL, BEACON, KOMPROGO 등이다.

잊을 만 하면 등장하는 ‘발주서’ 악성메일, 이번엔 포스코 사칭했다

수집 날짜

2020-04-24

원문 링크

https://www.boannews.com/media/view.asp?idx=87769

내용 요약

포스코 '발주서'를 사칭한 악성메일이 23일 오전에 발견됐다. 실존 기업을 사칭하고 있어 주의가 필요하다. 첨부된 파일은  ‘RFQ-PO-067MR65870-NO#10-Order&Specifications' 이미지(.img)파일이며 압축해제시 실행파일(.exe)이 나온다.

원격수업 피싱사이트에서 랜섬웨어 유포

수집 날짜

2020-04-24

원문 링크

http://www.inews24.com/view/1259966

내용 요약

코로나19 사태로 온라인 원격수업이 시작되면서 원격수업 관련 파일 다운로드를 유도하는 피싱사이트에서 랜섬웨어가 유포된 사례가 발견됐다. 공격자는 보안이 취약한 웹서버를 해킹하여 자신이 만든 원격수업 관련프로그램 다운로드 위장 피싱 웹페이지를 업로드했다. 원격수업에 필요한 프로그램을 다운받기위하여 검색하는 '구글 클래스룸', '웹캠 드라이버'등을 검색하면 해당 사이트가 검색 결과에 노출된다. 따라서 원격수업을 위한 파일과 프로그램은 공식 페이지에서 다운받아야한다.

SeaChange video platform allegedly hit by Sodinokibi ransomware

수집 날짜

2020-04-24

원문 링크

https://www.bleepingcomputer.com/news/security/seachange-video-platform-allegedly-hit-by-sodinokibi-ransomware/

내용 요약

SeaChange 비디오 플랫폼이 Sodinokibi 랜섬웨어에 의해 공격받았다. 공격자들은 SeaChange 전용 페이지를 만들고 해당 기업에서 유출한 데이터 이미지를 게시하여 몸값을 요구하고 있다. 서버의 폴더 스크린샷, 은행 명세서, 보험증서, 운전면허증 펜타곤 주문형 비디오 서비스 제안서 표지서신등을 게시하였다. 아직 정확하게 얼마를 요구했는지는 알려지지 않았다.

Valve Confirms CS:GO, Team Fortress 2 Source-Code Leak

수집 날짜

2020-04-24

원문 링크

https://threatpost.com/valve-confirms-csgo-team-fortress-2-source-code-leak/155092/

내용 요약

Valve에서 인기 게임 CS: Counter-Strike: Global Attack에서 소스코드가 유출된 것이 발견되었다고 발표했다. 소스 코드 액세스는 일반적으로 소스 엔진 면허인, 밸브 직원 및 계약업체로 제한되어 있는다 유출로 인해 악성 프로그램 설치, 원격 코드 실행 공격 또는 제로 데이 공격 개발 등과 같은 심각한 보안 문제에 대한 우려를 제기하고 있다.

FPGA 칩에서 발견된 스타블리드 취약점, 의견이 분분

수집 날짜

2020-04-22

원문 링크

https://www.boannews.com/media/view.asp?idx=87714

내용 요약

현장 프로그래머블 게이트 어레이(Field Programmable Gate Array, FPGA) 칩에서 심각할 수 있는 취약점이 발견됐다. 해당 취약점을 통해 많은 장비들이 공격에 노출될 수 있다고 한다. FPGA 칩은 현장 프로그래밍이 가능한 보안 칩셋으로 발견된 취약점을 악용할 경우 원격 접근을 통한 공격이 가능하며, 발견한 보안 연구원들은 공격난이도와 비용이 낮은편이라 위험하다고 주장하였다. 하지만 FPGA 장비 만드는 회사는 원격 접근은 사실상 불가능하며 공격난이도가 높다고 반박하고 있는 상황이라 의견이 분분하다.

[해킹 경보] '닌텐도 동물의 숲 에디션' 판매 피싱사이트 주의

수집 날짜

2020-04-22

원문 링크

http://m.newspim.com/news/view/20200421000209

내용 요약

최근 인기를 끌고 있는 '닌텐도 동물의 숲 에디션' 중고제품 판매를 위장한 피싱사이트를 통해 개인정보 거래대금 탈취 시도가 발생했다. 21일 안랩에 따르면, 공격자는 중고거래를 위장하는 내용의 게시물로 피해자를 현혹하여 안전거래를 주장하며 피싱사이트인 특정 URL을 구매자에게 발송했다. 해당 URL을 클릭하면 실제 안전거래를 적용한 사이트와 구분하기 어려울 정도로 유사하게 제작되어 있어 피싱사이트임을 알아채기 어렵다. 피해자가 개인정보를 입력하면 공격자에게 전송이되고 공격자에 목적에 따라 악용될 수 있기 때문에 주의가 필요하다.

중국의 해킹 단체 윈티, 한국의 게임사 그래비티 공격

수집 날짜

2020-04-22

원문 링크

https://www.boannews.com/media/view.asp?idx=87738&kind=4&sub_kind=

내용 요약

첩보 전문 업체인 쿼인텔리전스(QuoIntelligence)가 중국 APT 공격 단체인 윈티그룹이 한국 비디오 게임회사인 그래비티(Gravity)를 공격했다고 보고서를 발표했다.. 윈터그룹은 지난 반 년 동안 포트리유즈(PortReuse), 마이크로소프트의 SQL을 표적으로 삼는 스킵 2.0,  셰도우패드(ShadowPad)의 새 변종과 같은 백도어를 활용해 다양한 대상들을 공격헀다. 쿼인텔리전스 측에서 윈티의 기존 드로퍼와 흡사한 멀웨어 샘플이 한 온라인 멀웨어 스캔 서비스에 업로드 되었고 샘플을 분석해 공격의 표적이 한국이라는 것을 발견했다.

Banking.BR Android Trojan Emerges in Credential-Stealing Attacks

수집 날짜

2020-04-22

원문 링크

https://threatpost.com/android-banking-br-trojan-credential-stealing/154990/

내용 요약

"Banker.BR"라는 새로운 안드로이트 트로이 목마가 발견됐다. 악성 프로그램은 사용자를 공격자가 제어하는 악의적인 도메인으로 이끄는 메시지를 통해 전파된다. 도메인은 피해자들에게 모바일 뱅킹에 필요한 것으로 알려진 "보안 앱"의 최신 버전을 다운로드하도록 지시한다. 피해자가 업데이트 버튼을 클릭하면 자신도 모르게 합법적인 파일 공유 플랫폼에서 악성 프로그램 다운로드를 시작한다.해당 멀웨어는 "elaborate"라는 오버레이 공격 기능을 이용하여 피해자들의 크리덴셜을 탈취하고 계좌 인수를 목표로 하고 있다. 보안 연구원들은 해당 멀웨어는 스페인어, 포루투칼어를 사용하는 국가들을 대상으로 하고 있으며 지속적으로 개발되고 있어 향후 확상된 오버레이 기능과 코드향상에 대해 경고 하고 있다.

DoppelPaymer Ransomware hits Los Angeles County city, leaks files

수집 날짜

2020-04-22

원문 링크

https://www.bleepingcomputer.com/news/security/doppelpaymer-ransomware-hits-los-angeles-county-city-leaks-files/

내용 요약

LA County City가 도펠페이머 랜섬웨어(DoppelPaymer Ransomware)에 공격받은 것으로 알려 졌다. 공격자들은 비트코인 100달러(68만9147달러)를 지불하면 유출된 파일 삭제, 도난 파일 추가 공개 금지를 해준다며 요구하고 있다. 도플페이머 운영자들은 Bleipping Computer에 보낸 이메일에서 3월 1일 공격에서 시티의 지역 백업을 지운 다음 약 150대의 서버와 500대의 워크스테이션을 암호화했다고 밝혔다. 현재 200GB 파일을 도난당한 것으로 추정된다. 도펠페이머는 2020년 2월 몸값을 거부하는 피해자들의 도난 데이터를 공개하는 데 이용했던 '도플 누출' 사이트를 만들었다. 도펠페이머는 이 사이트에 대한 새로운 업데이트를 통해 랜섬웨어 공격 중 시에서 도난당한 것으로 알려진 수많은 파일 보관 파일이 포함된 "City of Torrance, CA" 페이지를 만들었다. 이 자료에는 기록관 명칭에 근거하여 시 예산 재정, 각종 회계 문서, 문서 스캔, 시 관리자에 속하는 문서 보관 등이 포함되어 있다. 그들이 훔쳤다고 주장하는 모든 파일들을 나열한 Bleipping Computer와 공유된 텍스트 파일에는 8,067개의 디렉토리 전체에서 269,123개의 파일이 나온다. 지난 3월 현지 언론은 토런스 시에 대한 사이버 공격 소식을 [1, 2] 보도했다. 당시 시는 "공공 개인 데이터"가 영향을 받지 않았다고 밝혔다.

[주의] 이력서로 위장한 makop 랜섬웨어 (04.13)

수집 날짜

2020-04-14

원문 링크

https://asec.ahnlab.com/1314

내용 요약

4월 13일 이력서로 위장해 유포중인 makop 랜섬웨어가 발견되었다. 해당 랜섬웨어는 이력서로 위장하여 유포중이며 메일내 첨부파일에는 한글문서를 가장한 .exe 실행파일이 존재한다. 어눌한 한국말로 보아 한국인은 아닌것으로 보인다. 감염시 원본파일명.[랜덤8자].[akzhq412@protonmail.ch].makop 로 파일명이 변경된다.

“코로나19 관련 도메인 10만개 증가…악성코드 감염ㆍ사이버공격 주의”

수집 날짜

2020-04-14

원문 링크

https://www.dailysecu.com/news/articleView.html?idxno=107793

내용 요약

코로나 바이러스를 악용하는 사이버 위협 사례가 증가하고 있다.

1. 코로나 관련 피싱/멀웨어 배포

코로나 관련 키워드로 이메일 등 링크로 유인하여 RAT Tool(NetWire, NanoCore, LokiBot) 및 기타 멀웨어 공격

2. 페이크 애플리케이션

코로나 정보 제공 앱을 가장한 악성 애플리케이션 배포중

3. 코로나 관련 도메인 네임

코로나를 포함한 도메인이 10만건이 넘는것으로 확인되었다.

내가 접속한 ‘성인사이트’ 모두 안다고? 다크웹 개인정보 악용한 협박 메일

수집 날짜

2020-04-14

원문 링크

https://www.boannews.com/media/view.asp?idx=87585

내용 요약

다크웹에 유출된 개인정보를 악용하여 협박메일이 유포중인것이 발견되었다. 협박메일은 자신의 컴퓨터에 키로거, 원격제어 도구 등을 모두 설치해서 '성인사이트' 접속한 것을 모두 녹화해 두었으니 유포를 막으려면 비트코인을 달라는 내용이었다. 메일제목에 피해자가 기존에 사용하면 패스워드를 기입하여 그럴듯하게 가장하였다. 해당 사례처럼 해킹사고로 유출된 개인정보가 다크웹 등에 판매 또는 공개되면서 유출된 정보를 악용한 2차 피해가 우려되는 상황이다.

애플도 안심할 수 없다! 애플 사용자 노린 피싱 등장

수집 날짜

2020-04-14

원문 링크

https://www.boannews.com/media/view.asp?idx=87554

내용 요약

최근 애플 사용자 계정정보를 노린 피싱메일 공격들이 발견되었다. 해당 메일 제목은 '알 수 없는 기기를 사용하여 로그인'이란 제목으로 클릭을 유도하고 있다. 수신자가 링크를 클릭할 경우 허의 로그인 정보를 포함한 PDF 파일이 다운로드 되고 PDF에 삽입된 링크를 클릭할 경우 계정과 패스워드를 가로채기 위한 피싱사이트로 이동된다. 피싱사이트에서 계정정보를 입력하면 해당 정보를 수집하고 추가적으로 더 자세한 정보를 수집하기위한 2차 페이지로 이동된다.

Overlay Malware Leverages Chrome Browser, Targets Banks and Heads to Spain

수집 날짜

2020-04-14

원문 링크

https://threatpost.com/overlay-malware-exploits-chrome-browser-targets-banks-and-heads-to-spain/154713/

내용 요약

Grandoreiro라는 뱅킹 멀웨어는 가짜 크롬브라우저 플러그인("Google Plugin" 버전 1.5.0로 가장)을 사용하여 고객 크리덴셜을 훔치는 원격 오버레이 악성코드 공격을 한다. 그란도레로(Grandoreiro)는 원격 오버레이 뱅킹 트로이 목마의 일종으로, 공격자가 장치를 추월하고 피해자가 온라인 뱅킹 계정에 접속할 때 전체 화면 오버레이 이미지를 표시할수 있도록 고안되었다. 즉 온라인 계정 접속할때 가짜 이미지 사이트를 보여주고 고객 크리덴셜을 수집하여 뒤에서는 계좌에 돈을 빼내는 방법이다. 해당 공격은 브라징의 은행을 타깃으로 하고 있는 것으로 알려졌는데 최근 스페인 은행이 공격되면서 사업을 확대하고 있다는 것이 발견되었다. 해당 악성 프로그램은 코로나를 주제로한 비디오(스팸 SMS)를 악용하여 URL 클릭을 유도하여 유포되고 있다.

URL 클릭 -> 파일 다운로드 유도 -> MSI 파일다운 -> C2 서버와 연결

C2 서버를 통해 기기 정보 수집, 원격 액세스 기능을 수행할 수 있다.