넷서포트 매니저의 악성 버전, 코로나 피싱 메일 타고 번져

수집 날짜

2020-05-26

원문 링크

https://www.boannews.com/media/view.asp?idx=88429

내용 요약

원격 접근 도구인 넷서포트 매니저(NetSupport Manager)를 퍼트리는 캠페인이 발견 됐다. 넷서포트 매니저는 원격 기술 지원 및 문제 해결을 위한 정상적인 도구이다. 이번 스피어 피싱 캠페인에 발견된 넷서포트 매니저는 공격자들이 악의적으로 변경해둔 악성 버전이다. 현재 코로나를 미끼로 악성 프로그램을 유포중이며 엑셀파일을 통해 공격이 시작된다. 악성 넷서포트는 RAT로서 C&C서버와 연결하여 명령을 실행하는 기능이 있다.

라크나로커 랜섬웨어, 피해자 시스템에 가상기계 설치

수집 날짜

2020-05-26

원문 링크

https://www.boannews.com/media/view.asp?idx=88394

내용 요약

라그나로커(Ragnar Locker)라는 랜섬웨어에 새로운 기능이 추가되었다. 기존 라그나로커는 원격 데스크톱 프로토콜(RDP) 연결을 겨냥하여 네트워크를 침해하는 방법을 선호하는 것으로 알려져 있었다. 또한 암호화 전에 데이터를 훔쳐내어 이중 협박 전략을 사용한다. 최근에 소포스에서 공개한 새로운 기능으로는 Virtual Box 설치하고 가상환경 속에 랜섬웨어를 설치 및 실행하여 탐지를 피해가는 기능이다. 로컬PC의 보안 장치들은 랜섬웨어를 탐지하거나 삭제할수 없으나 가상 환경 속에 랜섬웨어는 로컬PC를 암호화 시키면서 탐지를 우회한다.

세계 첫 양자보안 스마트폰 "현존 기술론 해킹 불가능"

수집 날짜

2020-05-26

원문 링크

https://www.zdnet.co.kr/view/?no=20200525163023

내용 요약

SK텔레콤이 삼성전자와 협업을 통해 '갤럭시A 퀀텀'을 출시했다. 세계 최초로 양자보안을 적용한 스마트 폰이다. 갤럭시A 퀀텀에는 SK 텔레콤 자회사 IDQ가 개발한 양자난수생서(QRNG) 칩셋이 탑재됐다.  해당 칩셋은 스마트폰 안에서 무작위의 양자 난수를 만들어 낸다. 적용 방식은 기존방식과 동일하게 1단계로 로그인 절차를 걸쳐 2단계 양자 기반의 일회용 비밀번호(OTP) 인증을하는 2단계 인증 방식이다. 갤럭시 A 퀀텀은 복제가 불가능하고, 중첩성, 불확정성 등의 역학적 특징을 갖는 양자를 활용하여 현존하는 기술로는 스마트폰 해킹이 불가능하다.

중동 노리는 APT 그룹 샤퍼, 자급자족 전략 통해 캠페인 벌여

수집 날짜

2020-05-26

원문 링크

https://www.boannews.com/media/view.asp?idx=88428

내용 요약

샤퍼(Chafer)라는 APT 그룹이 새로운 사이버 범죄 캠페인을 시작하였다. 샤퍼는 2014년부터 활동해온 APT 그룹으로 주로 중동 국가의 사회 기반 시설들을 공격해왔다. 샤퍼 그룹은 이번 미 정부 기관들과 운송 기업들을 공격한것으로 알려졌다. 이번 공격에 사용된 기법은 "리빙 오프 더 랜드(Living off the land)" 기법으로 공격 도구를 자체적으로 만든 것이 아닌 시스템에 있는 도구들이나 흔히 구할수 있는 컴퓨터 도구를 악용하여 목적을 달성하였다. 피해자 시스템에 있는 유틸리티를 공격에 활용하기 때문에 탐지가 어려운 상태이다. 해당 캠페이는 보안업체 비트디펜더가 발견하였으며 현재 캠페인은 중단된 상태라고 한다. 해당 국가나 지역의 담당 기관이 캠페인에 대해 조치를 취한것으로 보인다.

Silent Night Banking Trojan Charges Top Dollar on the Underground

수집 날짜

2020-05-26

원문 링크

https://threatpost.com/silent-night-banking-trojan/155981/

내용 요약

Silent Night 라고 불리는 Zeus 뱅킹 트로이 목마의 업그레이드 버전이 발견돼었다. Google Chrome, Mozilla Firefox 및 Internet Explorer를 지원하는 웹 주입 및 폼 그래버, HiddenVNC 및 SOCKS5를 통한 프록시 서비스, 브라우저 활동을 위한 키로거, 스크린샷 촬영 기능, Chrome, Firefox 및 IE용 쿠키 스틸러, Chrome용 암호 스틸러등의 기능을 가지고 있다고 한다. 모든 모듈들은 난독화 및 랜덤화 되어 보관한다고 한다.

ATM 제조사 디볼드 닉스도프, 랜섬웨어에 감염돼 일부 시스템 마비

수집 날짜

2020-05-13

원문 링크

https://www.boannews.com/media/view.asp?idx=88124

내용 요약

ATM 제조사 디볼드 닉스도프가 랜섬웨어에 공격을 당해 일부 시스템이 마비됐었다. 해당 업체는 2018년에도 공격을 당한바 있다. 이번 디볼드를 공격한 건 프로락이라는 랜섬웨어라고 한다. 프로락은 포드락커의 후속작으로 알려져 있다. 이번 프로락 공격자들이 디볼드에 요구한 금액은 정확하게 밝혀지지 않은 상태이다. 현재 디볼드 닉스도프가 아직 정확한 정보는 미공개하고 있다.

인기 데이팅 앱 모비프렌즈에서 350만 개인정보 유출돼

수집 날짜

2020-05-13

원문 링크

https://www.boannews.com/media/view.asp?idx=88132&kind=4&sub_kind=

내용 요약

인기 데이팅 앱 모비프렌즈에서 350만 개인정보가 유출돼었다. 현재 해당 정보는 다크웹의 암시장에서 활발히 거래되고 있는 중이라고 한다. 현재 유출된 정보로 알려진 것은 생년월일, 성별, 웹사이트 내 활동 현황, 핸드폰 번호, 사용자 이름, 이메일 주소, 해시 처리 된 비밀번호라고 한다. 아직 어떻게 개인정보가 유출됐는지 정확하게 밝혀지지 않은 상태이다.

코로나 타고 부활한 스핑크스 멀웨어, 더 은밀하고 지독해져

수집 날짜

2020-05-13

원문 링크

https://www.boannews.com/media/view.asp?idx=88130&kind=4&sub_kind=

내용 요약

제우스 스핑크스라는 뱅킹 트로이 목마가 코로나를 미끼로 급증했다. 해당 악성코드의 최종 목적은 개인정보 탈취이다. 스핑크스 멀웨어는 시스템 리부트시 사라지는 것을 막기 위해 RUN 키를 윈도우 레지스트리에 추가한다. 또 페이로드 형태에 따라 실행파일이나 DLL의 방식을 취하며 브라우저 기능들을 후킹할 수도 있다고 한다.

미 정보당국, 북 해킹조직 악성코드 추가 공개

수집 날짜

2020-05-13

원문 링크

https://www.rfa.org/korean/in_focus/nk_nuclear_talks/nkhacking-05122020151407.html

내용 요약

미 정보당국에서 12일 북한 당국이 배후로 있는 해킹 조직, ‘히든 코브라’가 사이버 공격에 사용한 새로운 악성 소프트웨어 표본에 대한 분석 보고서를 공개했다. 신종 악성코드 3개를 각각 ‘코퍼헷지(Copperhedge)’, ‘테인티드스크라이브(Taintedscribe)’, ‘페블대쉬(Pebbledash)’로 명명했다. 해당 악성코드의 배후는 히든 코브라가 배후로 추정되고 있다. 히든 코브라는 라자루스라는 이름으로 잘 알려져 있는 북한 정부 지원 APT 그룹이다. 미 정보당국은 북한의 사이버 위협에 대한 경각심을 당부했다.

WordPress Page Builder Plugin Bugs Threaten 1 Million Sites with Full Takeover

수집 날짜

2020-05-13

원문 링크

https://threatpost.com/wordpress-page-builder-bugs-takeover/155659/

내용 요약

워드프레스 플러그인 SiteOrigin의 Page Builder에서 2가지 취약점이 발견되었다. 첫번째 취약점은 플러그인에 내장된 라이브 편집기에서 발견된 파일업로드 컨텐츠 필터링 문제이고, 두번째는 AJAX 액션 wp_ajax_so_panels_builder_content에 연결된 플러그인의 action_builder_content 함수에서 CRSF to XSS 문제이다. 발견된 취약점을 익스플로잇 할 경우 CSRF, XSS 공격을 할 수 있다.