"취임식 앞둔 대만 총통부, 중국발 추정 해킹 공격받아"

수집 날짜

2020-05-18

원문 링크

https://www.yna.co.kr/view/AKR20200517031600009

내용 요약

5/17일 대만 총통부가 15일 중국발로 추정되는 해킹공격을 받았다고 보도되었다. 대만 대통령 취임식이 4흘전에 받은 공격이다. 해당 공격으로 대만 총통과 행정원장의 4월 면담 준비 자료 등 일부자료가 외부로 유출되었다.  유출된 문서중에는 차기 내각 인사에 대한 내용도 있었으며 현재 조사중으로 중국 네티즌의 소행으로 추정된다.

[긴급] 실존기업 사칭 ‘발주서’ 악성메일 줄줄이 유포

수집 날짜

2020-05-18

원문 링크

https://www.boannews.com/media/view.asp?idx=88217

내용 요약

5/14,15일 실존 기업의 이름을 사칭한 '발주서' 형태의 악성메일이 연이어 발견되었다. 이번에 발견된 악성메일은 실존 기업의 이름을 사칭한 것 뿐 아니라 실제로 존재하는 직원의 이름까지 그대로 사용하여 자칫 잘못하면 속을수 있어 주의를 요구한다. 해당 메일 내용은 매우 자연스러워 한국어에 익숙한 사용자일수 있다.  ‘T○○○ 05-14 (○.○.CHOI) 발주서 첨부하여 드립니다.JPEG’란 이름의 파일은 이미지(.img) 파일을 가장한 exe 파일이 첨부되어 있다. 해당 파일은 사용자의 정보를 수집하는 것으로 분석되었다.

해킹그룹 ‘툴라’, HTTP 상태코드 사용해 감염 호스트 제어 멀웨어 사용해 공격

수집 날짜

2020-05-18

원문 링크

https://dailysecu.com/news/articleView.html?idxno=108807

내용 요약

카스퍼스키에서 HTTP 상태 코드에 의존하는 매커니즘을 사용해 감염된 호스트를 제어하는 새로운 버전의 'COMpfun' 멀웨어를 확인했다고 밝혔다. 해당 공격의 배후는 '툴라(Turla)'로 알려진 러시아 국가 후원 APT 그룹으로 알려져있다. 이번에 발견된 멀웨어 'COMpfun'은 피해자를 감염시키고 시스템 정보, 키 입력 기록, 사용자 데스크탑의 스크린 샷 등을 수행하는 원격 액세스 트로이 목마(RAT)로 수집된 모든 데이터는 원격 C&C 서버로 유출된다. 이번에 발견된 버전에는 USB를 통한 악성코드 전파기능, 새로운 C&C 통신 시스템 기능이 추가되었다.

UPS 청구서를 가장한 피싱메일 주의

수집 날짜

2020-05-18

원문 링크

http://www.hauri.co.kr/security/issue_view.html?intSeq=403&page=1&article_num=316

내용 요약

UPS 청구서를 가장한 악성 스크립트 파일이 유포되고 있어 사용자의 주의가 요구된다. 해당 피싱 메일은 세계정인 물류 운송업체 UPS로 사칭하고 있으며 첨부된 엑셀파일 실행시 2개의 그림과 1개의 버튼이 삽입되어 있다. 레이아웃이 변경되거나 버튼 클릭시 WMIC를 이용한 파워쉘 스크립트가 실행되며 C&C 서버와 통신하여 추가 악성 파일을 다운로드 한다.

Hoaxcalls Botnet Exploits Symantec Secure Web Gateways

수집 날짜

2020-05-18

원문 링크

https://threatpost.com/hoaxcalls-botnet-symantec-secure-web-gateways/155806/

내용 요약

시만텍 보안 웹게이트를 활용한 Hoaxcalls Botnet 활동이 발견되었다. 해당 공격은 웹게이트웨이 원격 코드 실행 취약점을 악용한 공격으로 아직 패치되지 않은 버전의 버그를 익스플로잇한 공격이다. 해당 멀웨어 기능에는 트래픽 프록시, 업데이트 다운로드, 장치 재시작에 대한 지속성 유지, 재부팅 방지 및 DDoS (Distributed Denial-of-Service) 공격 기능이 포함되어 있다. Symantec Secure Web Gateway 버전 5.0.2.8에서 취약점이 존재하며 5.2.8버전에서는 패치되었다.

또 공정위 사칭…'비다르' 악성코드 유포 주의

수집 날짜

2020-05-15

원문 링크

http://www.inews24.com/view/1264620

내용 요약

안랩에서 최근 공정거래위원회를 사칭한 메일로 감염PC 정보를 유출한 '비다르'악성코드 유포 사례를 발견했다며 13일 주의를 당부했다. '전산 및 비전산자료 보존 요청서.zip' 압축파일로 해당 파일 압축해제시 pdf, hwp 파일이 존재한다. 두 문서는 정상문서를 가장한 .exe 파일로 하나라도 실행하면 비다르 악성코드에 감염된다. 비다르 악성코드란 암호화폐 지갑 정보, 메신저 계정정보, 인터넷 브라우저 정보등을 유출하는 악성코드이다.

아누비스 멀웨어, 사용자가 화면 들여다보면 ‘동작 그만!’

수집 날짜

2020-05-15

원문 링크

https://www.boannews.com/media/view.asp?idx=88157&kind=14

내용 요약

구글의 안드로이드 기반 스마트폰들을 지속적으로 공격하는데 사용되는 멀웨어 아누비스가 업그레이드되어 발견되었다. 최근 버전에는 피해자가 현재 자신의 스마트폰 화면을 들여다보고 있는지 확인하는 기능까지 더했다고 한다. 또한 감염된 장비의 위치를 파악하는 기능도 추가한 것으로 보인다. 아누비스는 2017년 후반부터 활동해온 멀웨어로 주로 사이버 정찰활동을 위해 사용되었으나 시간이 지나면서 뱅킹 트로이목마로 변했다. 이들의 목표는 크리덴셜 탈취, 키로거 설치, 일부 랜섬웨어 공격이며 최근에는 금융 및 뱅킹 관련 앱들이 표적이 되고 있다.

썬더볼트 설치된 수백만대 PC 위협할 수 있는 취약점 발견돼

수집 날짜

2020-05-15

원문 링크

https://www.dailysecu.com/news/articleView.html?idxno=108674

내용 요약

2011년 이후 출시된 썬더볼트(Thunderbolt)가 설치된 모든 컴퓨터에 대해 공격자가 암호화된 드라이브 및 메모리에서 데이터를 빠르게 훔쳐낼 수 있는 9가지의 공격 시나리오가 공개됐다. 사용자가 무인 컴퓨터 잠금, 보안 부팅 설정, 강력한 BIOS 사용 및 운영 체제 계정 암호, 전체 디스크 암호화 같은 보안 대처를 했더라도 작동할수 있다고 경고 했다. 마이크로소프트는 썬터볼트3에 대해 직접 메모리 접근(DMA) 공격 취약성에 대한 우려로 서피스 기기에 이를 포함시키지 않았었다. 일부 윈도우10 OEM은 썬더볼트를 채택했으며 2011년 이후 모든 애플 맥 컴퓨터에는 썬더볼트가 포함되어 있다. 인텔과 애플은 썬더 스파이에 대한 해결책을 제공하지 않기로 결정했다.

대형 보험사 마젤란 헬스, 랜섬웨어에 당하고 정보도 빼앗기고

수집 날짜

2020-05-15

원문 링크

https://www.boannews.com/media/view.asp?idx=88187

내용 요약

보험사 마젤란 헬스가 랜섬웨어 공격을 받은 후 데이터 유출까지 겪었다. 4/11 마젤란 헬스 측에서 발표한 내용에 의하면 공격은 오랜 기간 이어졌고 랜섬웨어는 가장 마지막에 발견되었다고 한다. 피해를 입은 것으로 추정되는 고객들에게 사과 및 고지 메일을 보내고 있으며 정확하게 유출된 데이터가 파악되지 않았다. 현재 조사중으로 잠시 동안 시스템 마비가 있었고 기밀과 개인정보에 해당하는 데이터가 유출됐다고 한다. 최근 랜섬웨어 공격자들은 피해자들에게 확실하게 돈을 받기위해 데이터를 암호화 하기전 유출하는 추세이다. 이는 메이즈랜섬웨어가 유행시킨것으로 많은 랜섬웨어 운영자들이 이 전략을 구사하는 중이다.

ProLock Ransomware가 네트워크 액세스를 위해 QakBot 트로이 목마와 협력

수집 날짜

2020-05-15

원문 링크

https://www.bleepingcomputer.com/news/security/prolock-ransomware-teams-up-with-qakbot-trojan-for-network-access/

내용 요약

최근 ProLock이라는 랜섬웨어 기업과 지방 정부를 대상으로 엄청난 몸값을 요구하며 주목을 받고 있다. 가장 최근 피해자로 알려진 것은 ATM 제공업체 'Diebold Nixdorf'이며 해당 공격으로 회사 네트워크가 일부 중단 되기도 했다.

ProLock은 네트워크 크기에 따라 175,000 달러에서 660,000 달러 이상의 몸값을 요구하고 있다. ProLock 랜섬웨어는 Sodinokibi 및 Maze와 같은 유명 랜섬웨어 그룹과 유사한 기술을 쓰며 MegaCortex 랜섬웨어와도 협력하는 QakBot (QBot) 트로이 목마를 통한 배포와 원격 데스크톱 (RDP) 서버 액세스라는 두 가지 주요 경로를 사용한다.

주의! 21대 국회의원 선거관련 악성 워드문서 유포 중

수집 날짜

2020-04-10

원문 링크

https://ahnlabasec.tistory.com/1312

내용 요약

21대 국회의원 선거가 닷새 앞으로 다가온 가운데 이를 악용한 악성코드가 유포돼 이용자 주의가 요구된다. 안랩 시큐리티대응센터(ASEC)는 9일 21대 국회의원 선거 관련 문서를 사칭한 악성코드가 유포되고 있다면서 이용자 주의를 당부했다 .공격자는 '21대 국회의원 선거 관련(20200401)'이라는 제목으로 문서 파일을 제작했다. 파일 본문에는 국회 의석수 현황이라고 적은 후 교섭단체·정당별 의석수 현황을 지역구와 비례대표로 구분해 표기했다. 워드 문서처럼 보이는 이 파일을 열면 다운로드를 시도하는 화면이 나타난다. 특정 인터넷 주소(URL)에서 악성 파일을 다운로드하도록 설계됐다. 워드 문서 내 개체 파일 타깃 항목에 의해 다운로드 기능이 동작한다. 다운로드가 끝나면 특정 주소로 이용자 정보를 유출한다.

파워포인트를 통한 ‘호버 위드 파워’ 공격, 클릭 없이도 멀웨어 설치

수집 날짜

2020-04-10

원문 링크

https://www.boannews.com/media/view.asp?idx=87509

내용 요약

파워포인트 파일을 통해 멀웨어를 다운로드 받게 하는 공격 기법이 발견됐다. 이 공격의 특징은 피해자가 악성 링크를 클릭하지 않고, ‘마우스오버’만 실행해도(즉, 마우스 커서를 링크 위에 가져다 놓기만 해도) 멀웨어가 설치되기 시작한다는 것이다. 그러나 마이크로소프트는 이를 대단히 큰 위험으로 받아들이지 않고 있다. 마우스오버 만으로 멀웨어가 다운로드 되긴 하지만, 팝업 창이 하나 뜨고 피해자가 ‘확인’을 눌러야 하기 때문이다. 이 공격 기법에 ‘호버 위드 파워(Hover with Power)’라는 이름을 붙이고 MS 측에 알렸다. 하지만 마이크로소프트의 보안 대응 센터(MSRC)는 “소셜 엔지니어링 요소가 포함된 공격이기 때문에 해당 문제점을 취약점이라고 보기 힘들다”는 답장을 보내왔다. “안전한 컴퓨터 사용 습관이 있다면 얼마든지 막을 수 있다”는 것이다. 상세한 익스플로잇 방법은 깃허브(https://github.com/ethanhunnt/Hover_with_Power/blob/master/README.md)를 통해 공개되어 있다. 페이지를 맨 아래까지 내리면 익스플로잇이 이뤄지는 과정을 애니메이션으로도 볼 수 있다.

[긴급] ‘긴급재난자금’ 상품권 사칭한 스미싱 유포

수집 날짜

2020-04-10

원문 링크

https://www.boannews.com/media/view.asp?idx=87514

내용 요약

최근 정부와 각 지자체의 ‘코로나19 관련 긴급 재난 지원금’이 이슈가 되고 있는 가운데, 4월 9일 ‘긴급재난자금’을 사칭한 스미싱이 유포되고 있어 주의가 요구된다고 이스트시큐리티 ESRC(센터장 문종현)가 밝혔다. 최근 코로나19 바이러스 감염으로 인한 직·간접적 피해를 입은 국민들의 삶을 지원하고 경기를 활성화시키기 위한 정부 긴급재난지원금 지급이 논의되고 있으며, 일부 지자체는 이미 인터넷으로 신청을 접수중인 상태다. 특히 재난기본소득에 대한 지급을 최초로 결정했던 경기도의 경우 4월 9일 15시부터 재난기본소득 온라인 신청을 오픈할 예정인데, 공격자들은 ‘긴급재난자금’에 사용자들의 관심이 쏠리고 있는 이러한 상황을 악용해 스미싱 공격을 수행했다. 만약, 메시지에 포함된 단축 URL을 클릭하게 되면 악성앱이 다운로드되며, 감염시 사용자 스마트폰에서 sms정보를 탈취한다

원격수업 보안사고 막으려면…

수집 날짜

2020-04-10

원문 링크

http://www.inews24.com/view/1256937

내용 요약

안랩은 신종 코로나바이러스 감염증(코로나19)로 인한 온라인 개학을 맞아 원격수업 시 보안사고 피해를 막기 위한 '슬기로운 원격생활 보안수칙'을 10일 발표했다. 이 수칙에 따르면 온라인 수업에 참가하는 학생들은 수업 참가 인터넷주소(URL)나 비밀번호, 수업화면 캡처 등 수업 정보를 SNS 등 외부에 공유하지 말아야 한다. 또한 노트북, PC, 스마트폰 등 수업용 기기에서 불법 무료 동영상 사이트 같은 유해 사이트에 접속해선 안 된다. 주요 프로그램을 사칭한 피싱 사이트가 있을 수 있는 만큼 수업용 프로그램은 반드시 공식 사이트에서만 다운로드해야 한다.

Unique P2P Architecture Gives DDG Botnet ‘Unstoppable’ Status

수집 날짜

2020-04-10

원문 링크

https://threatpost.com/p2p-ddg-botnet-unstoppable/154650/

내용 요약

DDG는 세계 최초의 P2P 기반 암호화 봇넷일 것이다. DDG로 알려진 동전을 채우는 봇넷은 연초부터 지난 3개월 동안 16개의 다른 업데이트를 발표하며 활발한 활동을 보였다. 연구원들에 따르면, 가장 두드러진 것은, 그것의 운영자들이 DDG를 매우 정교하고 "엄청나게 막을 수 없는" 위협으로 만든 독점적인 P2P 메커니즘을 채택했다는 것이다. Netlab 360에서 2018년 1월 처음 발견했으며 2019년 1월 총 5,695개의 봇이 발견되었을때 백업 C2 통신에 사용되는 Memberlist 기반 P2P 메커니즘을 추가한 것을 발견하였다. 현재 DDG 봇넷은 최신 버전에서 여전히 정적 C2 통신을 위해 IP나 DNS를 사용하지만 새로운 P2P 네트워크는 "C2를 분해해도 감염된 기기는 계속 가서 채굴 작업을 수행할 것"으로 작용한다 흥미롭게도 DDG는 기업 인트라넷 상의 서버만을 대상으로 하는 틈새 공격 벡터를 가지고 있으며, 특히 단일 사용자 이름 루트에 대한 SSH 암호가 약한 서버를 대상으로 한다. 넷랩 360 연구진은 이 회사가 목표물에 대해 시도하는 1만7907개의 하드코딩된 패스워드를 가지고 있다고 말했다.