멀웨어 로더 발락, 6개월 작업 끝에 모듈 구성의 정찰 도구로 변해

수집 날짜

2020-06-01

원문 링크

https://www.boannews.com/media/view.asp?idx=88548&kind=4&sub_kind=

내용 요약

발락은 시스템을 먼저 침해한 뒤 추가 멀웨어를 심는 일종의 로더 였는데, 최근에는 크리덴셜 및 민감정보를 수집하는 정찰용도구가 되었다고 보안업체 사이버리존이 발표했다. 또한 지난 6개월동안 악성프로그램 개발행위가 눈에 띄게 늘어났다고 한다. 발락 개발자들은 6개월 기간안에 20개의 버전을 발표했고 독일과 미국의 기업들로 표적으로 공격중에 있다.

깃허브에서 발견된 멀웨어, 개발자들의 공급망을 감염시켜

수집 날짜

2020-06-01

원문 링크

https://www.boannews.com/media/view.asp?idx=88544&kind=4&sub_kind=

내용 요약

깃허브 리포지터리들을 통해 멀웨어가 배포중이라고 한다. 조사결과 넷빈즈(NetBeans)라는 프로젝트를 침해하기 위해 만들어진 멀웨어이고 깃허브에서 한번도 발견되지 않았던 것이었다. 해당 멀웨어는 옥토퍼스 스캐너(Octopus Scanner)라는 오픈소스 공급망 멀웨어로 개발자들을 통해 전염되는 멀웨어 유형이다. 개발자의 리포지터리에 저장된 프로젝트 요소들을 감염시킴으로서, 백도어를 광범위하게 퍼트필수 있는 기능을 가지고 있다.

7년 동안 5000개 사이트 변조시킨 브라질 핵티비스트 찾아냈다

수집 날짜

2020-06-01

원문 링크

https://www.boannews.com/media/view.asp?idx=88537&kind=4&sub_kind=

내용 요약

2013년부터 현재까지 5천개가 넘는 웹사이트를 변조시켰고, 40개국에 피해를 준 핵티비스트가 발각되었다. 범인은 브라질에 20대 남성인 것으로 밝혀졌으며 현제 체포여부는 불명확하다. 해당 해커는 반다더갓(VandatheGod)라는 이름으로 활동하였으며 브라질,아르헨티나, 태국, 베트남 등 수십 개국에서 활동하며 웹사이트 변조 공격을 진행해왔다. 모든 공격이 다 정치적인 동기가 있었던 것은 아니지만 주로 반정부 적인 동기를 가지고 공격을 저질러 온 것으로 보인다. 덜미를 잡힌것은 본인의 정치적인 성향을 참지 못하고 소셜 미디어에 각종 자료를 상세히 업로드 한것이 빌미가 되었다.

'코로나19' 틈탄 금융권 사이버공격 7.3만건 발견

수집 날짜

2020-06-01

원문 링크

https://www.zdnet.co.kr/view/?no=20200529102858

내용 요약

금융보안원은 코로나19 관련 사이버위협 동향에 대해, 주요 지능형지속위협(APT)공격 그룹들의 악성코드와 메일을 추적 분석한 '코로나19 금융 부문 사이버위협 동향' 보고서를 29일 발표했다. 보고서에 따르면 코로나19 이용 공격은 악성코드 유포, 피싱사이트 접속, 금융사기 실행, 악성 앱 설치 등의 형태로 발생하고 있다. 현재까지는 코로나 19를 악용한 사이버 공격으로 인한 금융회사의 심각한 위협 사례는 확인되지 않으나, 지속적으로 유의할 필요가 있다고 발표했다.

NSA Warns of Sandworm Backdoor Attacks on Mail Servers

수집 날짜

2020-06-01

원문 링크

https://threatpost.com/nsa-sandworm-spy-attacks-exim-mail-servers/156125/

내용 요약

NSA에 따르면 러시아 APT 그룹인 Sandworm 은 Exim 이메일 서버 취약점을 악용한 공격을 진행중인 것으로 발표했다. Exim Mail Transfer Agent(MTA) 소프트웨어에 존재하는 취약점(CVE-2019-10149)을 악용하면 인증되지 않은 원격 공격자가 Exim 메일 서버에서 루트 권한으로 명령을 실행한 공격을 할수 있다. 또한 프로그램을 설치 및 데이터를 수정하고 새로운 계정을 생성할 수 있다. 패치된 버전은 Exim MTA를 버전 4.93 이상으로 업데이트를 권고한다..

올해 두 번 랜섬웨어에 당한 톨, 돈 내지 않자 범인들이 정보 공개

수집 날짜

2020-05-25

원문 링크

https://www.boannews.com/media/view.asp?idx=88370&kind=4&sub_kind=

내용 요약

호주의 대형 선박 업체인 톨(Toll)이 얼마 전 랜섬웨어 네필림(Nefillim)에 두번째 공격을 당했다. 이 때 민감한 정보 일부가 유출된 흔적도 함께 나왔다. 해커들을 약 200GB의 데이터를 훔쳐 냈다고 주장하며 톨 측에서 돈을 내지 않겠다고 발표하자 일부 정보를 공개하였다.

영국 저가항공사 이지젯, 900만명 개인정보 털렸다

수집 날짜

2020-05-25

원문 링크

https://www.zdnet.co.kr/view/?no=20200520084232

내용 요약

저가 항공사 '이지젯'(Easyjet)이 해커들의 공격을 받아 900만여명의 개인정보가 유출됐다. 고객 이메일 주소와 여행 명세서 2,208명의 신용카드 내역 데이터가 유출되었으며 현재 사고 시점에 대해 밝히지 않은 상태이다. 현재 이지젯 측은 정보가 유출된 고객과 연락하고 있으며 사기행각에 데이터가 사용될 수 있으니 주의를 당부했다.

중국 추정 APT 그룹, 국내 게임사·언론사 해킹 노렸다

수집 날짜

2020-05-25

원문 링크

https://www.boannews.com/media/view.asp?idx=88312&kind=&sub_kind=

내용 요약

최근 중국APT 그룹의 공격 활동이 증가했다. 지난 4월경부터 최근까지 국내 온라인 게임사, 언론사 등을 대상으로 스피어 피싱 공격이 다수 발견됐으며, 주로 외부에 많이 공개된 그룹메일 계정으로 공격이 수행된 것으로 드러났다. 해커는 공격 악성 워드 파일(DOCX) 문서를 사용했으며, ‘직원 활동 보너스 신청서.docx’, ‘직무 요구와 대우.docx’ 등의 파일 이름을 사용했다. 또한 최근에는 회사 내부의 사내 문서나 이력서를 사칭한 파일로도 공격이 수행되고 있다. 발견된 악성 문서들은 처음 실행된 후, 마치 개인정보 옵션 화면처럼 조작한 이미지를 보여주고, 보안 및 개인정보보호를 위해 매크로 실행이 필요하다는 식으로 ‘콘텐츠 사용’ 기능을 허용하도록 유도한다.

워드프레스 플러그인에 존재하는 치명적 취약점…3만개 이상 사이트 해킹 위험

수집 날짜

2020-05-25

원문 링크

https://www.dailysecu.com/news/articleView.html?idxno=108940

내용 요약

공격자가 WP Product Review Lite 워드프레스 플러그인에 존재하는 치명적인 취약점을 악용해 악성 코드를 주입, 잠재적으로 취약한 웹 사이트를 인수할 수 있다는 사실이 밝혀졌다. 패치가 공개됐지만 여전히 3만여 개 사이트는 패치를 적용하지 않아 위험한 상황이다. 해당 취약점은 수쿠리 랩 연구원들에 의해 발견되었고, 인증되지 않은 원격 공격자에 의해 악용될 수 있는 영구적인 XSS 취약점이다. 공격자는 워드프레스 사용자 입력 데이터 삭제 기능을 우회해 Stored XSS 문제를 악용할 수 있다. 결함을 유발하면 공격자는 대상 웹 사이트의 데이터베이스에 저장된 모든 제품에 악성 스크립트를 삽입할 수 있다. 사이트 관리자가 손상된 제품에 접근하도록 속인 다음 해당 제품을 악성 사이트로 리디렉션하거나 관리자를 대신하여 인증하기 위한 세션 쿠키를 훔칠 수 있다.

Backdoor, Devil Shadow Botnet Hidden in Fake Zoom Installers

수집 날짜

2020-05-25

원문 링크

https://blog.trendmicro.com/trendlabs-security-intelligence/backdoor-devil-shadow-botnet-hidden-in-fake-zoom-installers/?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+Anti-MalwareBlog+%28Trendlabs+Security+Intelligence+Blog%29

내용 요약

줌 설치 프로그램으로 위장한 가짜 프로그램이 발견됐다. 해당 멀웨어는 정상적인 Zoom 설치 프로그램으로 보이지만 Devil Shadow 봇넷과 백도어를 설치한다. 정상적인 Zoom 설치 프로그램에 비해 파일 크기가 크며 다른 앱의 번들로 묶여 있을 가능성이 있다. 원격 액세스 기능이 있으며 설치시 실행중인 모든 원격 유틸리티를 종료하는 기능이 있다. 해당 멀웨어에 감염되지 않으려면 정상적인 다운로드 경로를 통해 설치를 권고한다.

GDPR 준수 도와준다는 사이트에서 민감 정보 노출시켜

수집 날짜

2020-04-29

원문 링크

https://www.boannews.com/media/view.asp?idx=87891&kind=4&sub_kind=

내용 요약

유럽의 프라이버시 보호 규정인 GDPR의 준수와 관련된 정보를 제공하고 조언까지 해주는 GDPR 컴플라이언스 웹사이트인 GDPR.EU에서 MySQL 데이터베이스의 설정 오류로 정보 노출 사고가 발생했다. GDPR.EU이라는 사이트의 .git 누구나 열람할 수 있도록 설정돼 있었다. 깃은 파일 변경 이력을 전부 기록하며, 접근하는 데 성공하면 소스코드, 서버 접근 키, 데이터베이스 비밀번호, 호스팅 된 파일, 암호화 설트 등 민감한 정보를 열람할 수 있다. 노출된 건 외부로 공개되면 안 되는 내부 시스템들이었으며 GDPR.EU에서는 최초 신고후 4일만에 문제를 해결했다.

산업 통제 시스템을 모니터링하는 도구에서 디도스 취약점 발견돼

수집 날짜

2020-04-29

원문 링크

https://www.boannews.com/media/view.asp?idx=87888&kind=4&sub_kind=

내용 요약

산업 자동화 전문 기업인 인덕티브 오토메이션(Inductive Automation)에서 만든 이그니션 게이트웨이(Ignition Gateway)에서 디도스 공격을 유발하는 치명적인 취약점이 발견됐다. 이그니션 게이트웨이는 산업 통제 시스템을 웹 브라우저를 통해 모니터링 할 수 있게 해주는 제품이다. 발견된 취약점 CVE-2020-10641은 부적절한 접근 제어 취약점이며 3월 중순에 패치됐다(8.0.10 버전). 해당 취약점은 인증 없이 DB에 기록을 하드디스크가 다 찰때까지 남길수 있고 결과적으로 장비는 정상 작동이 불가하게 된다. 자세한 보고서는 (https://www.us-cert.gov/ics/advisories/icsa-20-112-01)서 상세히 열람이 가능하다.

셰이드 랜섬웨어의 공격자들, 복호화 키 공개하며 은퇴 선언

수집 날짜

2020-04-29

원문 링크

https://www.boannews.com/media/view.asp?idx=87886&kind=4&sub_kind=

내용 요약

4/27 셰이드(Shade) 랜섬웨어 개발자들이 활동 중단을 선언하고 복호화 키를 무료로 공개했다. 셰이드는 트롤데시(Trodesh)나 엔코더858(Encoder.858)등의 이름으로 불리며 2014년 부터 활동해 왔다. 주로 집(.zip) 압축 파일로 유포되었으며 시스템들을 감염시키는게 가능하다. 2016년에는 백도어가 추가되어 실질적인 피해를 입히는 멀웨어 중 하나로 뽑혔었다. 현재 버전은 AES 256 알고리즘을 통해 약 340종의 파일을 암호화 할수 있다. 운영자들은 복호화 키 75여개와 복호화에 필요한 유틸리티도 함께 공개했다.

이스라엘 '수자원 시설' 노리는 사이버공격 포착

수집 날짜

2020-04-29

원문 링크

https://www.zdnet.co.kr/view/?no=20200428144916

내용 요약

4/23 이스라엘 국가 사이버청(INCD)이 에너지,수력 분야 기업을 대상으로 인터넷 연결시스템 패스워드 변경 권고문을 발송했다. 만약 패스워드를 변경하지 못할 경우 적절한 보안 시스템이 갖춰질 때까지 시스템을 오프라인으로 전환하라고 권고했다. 이스라엘 정부는 폐수처리장, 펌프장, 하수구 등에 대한 사이버 공격이 보고됐다고 언급했느나 자세한 내용은 밝히지 않았다. 이슬람 해킹 그룹 'J.E.아미(J.E.Army)'가 해당공격을 포착했으며 팔레스타인에서 운영되는 것으로 알려진 해킹 그룹 '가자 사이버갱(Gaza Cybergang)'으로 추정하고 있다.

‘Black Rose Lucy’ is Back, Now Pushing Ransomware

수집 날짜

2020-04-29

원문 링크

https://threatpost.com/black-rose-lucy-is-back-now-pushing-ransomware/155265/

내용 요약

안드로이드 기반 드로퍼 악성 프로그램인 'Black Rose Lucy'가 정보탈취에서 랜섬웨어로 전환했다. 루시 드로퍼로 포장된 비디오 플레이어를 다운로드하도록 유인하여 악성 멀웨어를 설치한다. MainActivity 모듈에서 애플리케이션이 악의적인 서비스를 트리거하고, 그런 다음 명령 동작으로 호출되는 BroadcastReceiver를 등록한다. 해당과정을 통해 기기의 화면을 계속 켜놓는 '웨이크락' 서비스와 와이파이(WifiLock)를 계속 켜놓는 '위피락' 서비스를 획득한 후 장치파일을 암호화 시킨다. 이번에 발견된 'Black Rose Lucy'는 C2 서버도 강화되었다. 공격자들은 IP 주소가 아닌 도메인을 사용한다. C2 서버를 다운시킬 수는 있지만 새로운 IP 주소로 쉽게 해결될 수 있어 악성코드를 무력화하기 훨씬 어려워 졌다. 보안 연구원들은 모바일 멀웨어가 점점 더 정교해지고 있으며 추후 랜섬웨어 공격을 조심할 것을 당부했다.