"취임식 앞둔 대만 총통부, 중국발 추정 해킹 공격받아"

수집 날짜

2020-05-18

원문 링크

https://www.yna.co.kr/view/AKR20200517031600009

내용 요약

5/17일 대만 총통부가 15일 중국발로 추정되는 해킹공격을 받았다고 보도되었다. 대만 대통령 취임식이 4흘전에 받은 공격이다. 해당 공격으로 대만 총통과 행정원장의 4월 면담 준비 자료 등 일부자료가 외부로 유출되었다.  유출된 문서중에는 차기 내각 인사에 대한 내용도 있었으며 현재 조사중으로 중국 네티즌의 소행으로 추정된다.

[긴급] 실존기업 사칭 ‘발주서’ 악성메일 줄줄이 유포

수집 날짜

2020-05-18

원문 링크

https://www.boannews.com/media/view.asp?idx=88217

내용 요약

5/14,15일 실존 기업의 이름을 사칭한 '발주서' 형태의 악성메일이 연이어 발견되었다. 이번에 발견된 악성메일은 실존 기업의 이름을 사칭한 것 뿐 아니라 실제로 존재하는 직원의 이름까지 그대로 사용하여 자칫 잘못하면 속을수 있어 주의를 요구한다. 해당 메일 내용은 매우 자연스러워 한국어에 익숙한 사용자일수 있다.  ‘T○○○ 05-14 (○.○.CHOI) 발주서 첨부하여 드립니다.JPEG’란 이름의 파일은 이미지(.img) 파일을 가장한 exe 파일이 첨부되어 있다. 해당 파일은 사용자의 정보를 수집하는 것으로 분석되었다.

해킹그룹 ‘툴라’, HTTP 상태코드 사용해 감염 호스트 제어 멀웨어 사용해 공격

수집 날짜

2020-05-18

원문 링크

https://dailysecu.com/news/articleView.html?idxno=108807

내용 요약

카스퍼스키에서 HTTP 상태 코드에 의존하는 매커니즘을 사용해 감염된 호스트를 제어하는 새로운 버전의 'COMpfun' 멀웨어를 확인했다고 밝혔다. 해당 공격의 배후는 '툴라(Turla)'로 알려진 러시아 국가 후원 APT 그룹으로 알려져있다. 이번에 발견된 멀웨어 'COMpfun'은 피해자를 감염시키고 시스템 정보, 키 입력 기록, 사용자 데스크탑의 스크린 샷 등을 수행하는 원격 액세스 트로이 목마(RAT)로 수집된 모든 데이터는 원격 C&C 서버로 유출된다. 이번에 발견된 버전에는 USB를 통한 악성코드 전파기능, 새로운 C&C 통신 시스템 기능이 추가되었다.

UPS 청구서를 가장한 피싱메일 주의

수집 날짜

2020-05-18

원문 링크

http://www.hauri.co.kr/security/issue_view.html?intSeq=403&page=1&article_num=316

내용 요약

UPS 청구서를 가장한 악성 스크립트 파일이 유포되고 있어 사용자의 주의가 요구된다. 해당 피싱 메일은 세계정인 물류 운송업체 UPS로 사칭하고 있으며 첨부된 엑셀파일 실행시 2개의 그림과 1개의 버튼이 삽입되어 있다. 레이아웃이 변경되거나 버튼 클릭시 WMIC를 이용한 파워쉘 스크립트가 실행되며 C&C 서버와 통신하여 추가 악성 파일을 다운로드 한다.

Hoaxcalls Botnet Exploits Symantec Secure Web Gateways

수집 날짜

2020-05-18

원문 링크

https://threatpost.com/hoaxcalls-botnet-symantec-secure-web-gateways/155806/

내용 요약

시만텍 보안 웹게이트를 활용한 Hoaxcalls Botnet 활동이 발견되었다. 해당 공격은 웹게이트웨이 원격 코드 실행 취약점을 악용한 공격으로 아직 패치되지 않은 버전의 버그를 익스플로잇한 공격이다. 해당 멀웨어 기능에는 트래픽 프록시, 업데이트 다운로드, 장치 재시작에 대한 지속성 유지, 재부팅 방지 및 DDoS (Distributed Denial-of-Service) 공격 기능이 포함되어 있다. Symantec Secure Web Gateway 버전 5.0.2.8에서 취약점이 존재하며 5.2.8버전에서는 패치되었다.