빅토리게이트 봇넷, 모네로 채굴하느라 피해자 CPU 99% 소모

수집 날짜

2020-04-28

원문 링크

https://www.boannews.com/media/view.asp?idx=87831&kind=4&sub_kind=

내용 요약

빅토리아게이트는 감염된 USB로 퍼지는 봇넷 멀웨어이다.  주로 모네로(Monero)라는 암호화폐 채굴을 하며 다른 멀웨어를 추가 다운로드할수 있는 기능이 있기 때문에 잠재적인 위험성이 있다. 해당 멀웨어에 감염되면 CPU 자원 90~99%를 장악하고 전파를 위해 USB를 감염시킨다. 자기 자신을 USB의 숨겨진 디렉토리로 전부 복제한 뒤, 윈도우 실행파일 형태로 압축시킨다고 한다. 현재는  XM리그(XMRig)라는 모네로 채굴 멀웨어가 빅토리아게이트를 통해 퍼지고 있다.

다크웹에서 한국과 미국의 지불카드 기록 대량으로 거래돼

수집 날짜

2020-04-28

원문 링크

https://www.boannews.com/media/view.asp?idx=87849&kind=4&sub_kind=

내용 요약

4월 9일 다크웹에서 한국과 미국관련 40만건의 지불카드 기록들이 발견됐다. 다크웹에 업로 된 DB 속 기록의 수는 397,365개이다. 총 가격은 1,985,835달러이며, 기록 하나 당 5달러에 거래도 가능하다. 데이터 유효성 비율은 약 30~40%라고 판매자는 주장하고 있다. 데이터의 출처는 아직 알려져 있지 않으며 49.9%가 한국의 것이라고 한다.

특수 언어 몇 개 보기만 하면 당신의 아이폰과 맥이 멈춘다

수집 날짜

2020-04-28

원문 링크

https://www.boannews.com/media/view.asp?idx=87846&kind=4&sub_kind=

내용 요약

비트디펜더(Bitdefender)의 연구원인 그래함 클룰리 애플 장비에 신드어 문자가 포함된 글이나 메시지를 아이폰을 통해 보면 작동을 멈추는 취약점을 발견했다. 신드어는 파키스탄에서 사용되는 공용어이며 해당 취약점은 맥OS,와 IOS에서 유니코드 기호들을 처리하는 과정에서 발생하는 것으로 알려졌다. 애플은 패치를 적용할 예정이나 정확한 패치 발표일은 아직 모른다.

보안 기업 “北연계 추정 해킹그룹 ‘라자루스’ 공격 증가”

수집 날짜

2020-04-28

원문 링크

https://news.joins.com/article/23764421

내용 요약

27일 이스트시큐리티가 북한 정부지원 APT 그룹 "라자루스"의 공격이 증가했다며 주의를 당부했다. 라자루스는 한국과 미국을 대상으로 은행,비트코인 거래소 해킹등을 통한 외화벌이를 조직적으로 수행하고 있다.  최근 발견된 APT 공격은 악성 문서(*.doc)를 유포 시키고 있으며 ‘elite4print[.]com’ 명령제어(C2) 서버로 사용하고 있다. 현재 블록체인, 외교안보, 채용, 코로나등 사회적 이슈를 피싱메일 키워드로 피해자들을 현혹하고 있다.

WordPress plugin bug lets hackers create rogue admin accounts

수집 날짜

2020-04-28

원문 링크

https://www.bleepingcomputer.com/news/security/wordpress-plugin-bug-lets-hackers-create-rogue-admin-accounts/

내용 요약

WordPress 플러그인에서 사이트간 요청 위조(CSRF) 버그가 발견됐다. 해당 버그를 악용할 경우 악성코드 삽입 및 악성 관리자를 생성할수 있다. 해당 취약점은 3.9이하 버전으로 영향을 받는다. WordPress는 4/22 해당 취약점이 발견되었다는 보고를 받고 몇시간 후에 풀패치를 적용하였다. 따라서 사용자들은 패치가 적용된 4.0.2 버전으로 업데이트를 해야한다.

새로운 킨싱 멀웨어 캠페인 포착…도커 서버들 타깃

수집 날짜

2020-04-07

원문 링크

https://www.dailysecu.com/news/articleView.html?idxno=107538

내용 요약

클라우드 보안 회사 아쿠아 시큐리티(Aqua Security)의 지난 금요일 블로그 게시물에 따르면 작년에 시작된 암호채굴 캠페인이 여전히 진행중에 있다고 밝혔다. 이 공격은 도커 인스턴스를 대상으로 하는 멀웨어 캠페인 리스트 중 하나로 시스템이 손상될 경우 해커 그룹은 방대한 컴퓨팅 리소스에 무제한 접근이 가능하다. 아쿠아의 보안 연구원에 따르면 해커가 노출된 API 포트가 있는 도커 인스턴스를 찾으면 이 포트에서 제공하는 액세스를 사용하여 우분투 컨테이너를 가동하여 킨싱(Kinsing) 악성코드를 다운로드, 설치한다. 이 악성코드의 주요 목적은 해킹된 도커 인스턴스에서 암호화폐를 채굴하는 것이지만 보조 기능도 함께 제공된다. 여기에는 로컬로 실행될 수 있는 다른 멀웨어를 제거하는 스크립트를 실행하는 동시에 회사 컨테이너 네트워크로 확산하기 위해 로컬 SSH 자격증명을 수집하여 동일한 멀웨어로 다른 클라우드 시스템을 감염시키는 스크립트가 포함된다.

지난 2년동안 수많은 MS-SQL 서버를 감염시킨 중국발 공격 "볼가"

수집 날짜

2020-04-07

원문 링크

http://www.itworld.co.kr/news/149265

내용 요약

지난 2019년 12월부터 시작된 캠페인 볼가(Vollgar)는 중국으로 추정되고 있으며 2개의 C&C 플랫폼을 사용하는것으로 밝혀졌다. 공격자는 데이터베이스 서버 액세스 권한을 획득한 공격자는 구성을 변경해 MS-SQL을 통한 WMI 스크립팅과 명령어 실행을 활성화한다(관리자가 비활성화해둔 경우). 또한 cmd.exe, ftp.exe, 그리고 기타 중요한 바이너리를 실행 가능하도록 하고, 데이터베이스와 운영체제에 대한 백도어 관리 계정을 추가한다. 감염 과정에서 기존 악성코드가 시스템 재부팅 시에 자동으로 시작되거나 정상적인 실행 파일에 연결하기 위해 사용할 수 있는 여러 레지스트리 키가 삭제된다. 또한 배포된 페이로드(SQLAGENTIDC.exe 또는 SQLAGENTVDC.exe)는 실행 중인 프로세스에서 알려진 악성코드를 스캔해 제거하고, 이후 여러 원격 액세스 모듈과 XMRig 기반의 암호화 마이닝 프로그램을 다운로드한다. 원격 액세스 모듈은 22251, 9383, 3213 등이 포함된 다양한 포트로 C&C 도메인과 접촉한다. 크립토마이닝 구성요소는 서버의 CPU 리소스를 사용해 모네로(Monero)와 기타 VDS 또는 볼러(Vollar) 크립토코인을 채굴한다(그래서 이 공격의 이름도 볼가다). C&C 도메인도 무료 TLD 아래에서 이 코인의 이름을 사용한다. 현재 매일 평균 약 2,000대의 데이터베이스 서버를 감염시킨것으로 들어나 DB 서버를 인터넷에 불필요한 노출을 피해야한다.

정상 인증서에 숨은 섀도 포스, 7년간의 행적 드러나

수집 날짜

2020-04-07

원문 링크

https://www.ahnlab.com/kr/site/securityinfo/secunews/secuNewsView.do?curPage=1&menu_dist=2&seq=29129

내용 요약

2020년 1월 아사히 신문에서 미쓰시비 전기 회사가 대규모 사이버 공격을 받았다고 발표했다. 이 공격에는 오로라 판다(Aurora Panda), 엠디비(Emdivi), 틱(Tick), 블랙테크(BlackTech) 등 4 개의 공격 그룹이 관련되었다고 보도했다. 안랩은 이 그룹중 오로라 판다라는 그룹에 주목하여 분석한결과 오퍼레이션 섀도 포스(Operation Shadow Force)라는 공격 흔적을 발견했다. 오퍼레이션 섀도 포스(Operation Shadow Force)는 2013년 이후 2020년 현재까지 섀도 포스(Shadow Force)와 Wg드롭(Wgdrop)으로 대표되는 악성코드로 한국의 기업과 기관을 공격하는 그룹의 활동이다. 이 그룹의 확인된 최초 공격은 2013년 3월이지만 악성코드 제작 일자 등을 고려했을 때 2012년 이전에도 활동했을 가능성이 높다. 피해 시스템은 보통 윈도우 서버이며 공격자는 아직 확인되지 않은 방법으로 시스템에 침입한다. 많은 관련 악성코드는 aio.exe 파일을 통해 다운로드 되었다. SQL 관련 파일인 sqlservr.exe 파일에서 aio.exe 파일을 다운 로드 한 기록이 있어 공격자는 SQL 서버를 장악 후에 aio.exe 파일을 다운로드 했다고 생각된다. Htran(aio.exe) 파일을 통해 관련 악성코드를 다운로드 하고 윈도우 실행 파일을 패치시키는 Pemodifier (iatinfect.exe)로 정상 프로그램을 변조해 특정 DLL 파일이 함께 실행되도록 한다. 변조된 EXE 파일이 실행되고 섀도 포스(Shadow Force) 등의 악성 DLL이 함께 실행된다. 일부 시스템은 키로거, 화면 녹화 등의 추가 프로그램을 설치한다. 현재까지 자료를 유출하는 방식은 확인되지 않았다.

또 코로나와 WHO 사칭하는 공격! 이번엔 로키봇 심긴다

수집 날짜

2020-04-07

원문 링크

https://www.boannews.com/media/view.asp?idx=87426

내용 요약

포티가드(FortiGuard)에서 코로나 사태를 악용한 또 다른 피싱 캠페인중 트로이목마의 일종인 로키봇(LokiBot) 발견되어 발표했다. 메일은 영문으로 작성되어있지만 모국어를 구사하는 공격자는 아니라고 판돤되며 피해자를 속이기 위하여 코로나 감염예방을 위한 여러가지 정보를 본문에 작성하였다. 첨부파일은 COVID_19-WORLD HEALTH ORGANIZATION CDC_DOC.zip.arj이라는 이름을 가지고 있다. ARJ 압축파일이며 7-ZIP이라는 유틸리티로 압축을 해제할 수 있다. 이 압축파일을 다운로드 받아 해제하면 DOC.pdf.exe라는 파일이 나타난다. 클릭해 실행할 경우 로키봇이 설치된다. 로키봇은 정보를 탈취하는 트로이목마로 여러 가지 앱들에 저장된 크리덴셜을 찾아 외부로 보낸다. 이번 공격의 경우 정보가 전달되는 곳은 http://bslines.xyz/copy/five/fre.php다.  로키봇은 사이버 범죄자들 사이에서 꽤나 유명한 멀웨어다. 사용이 간단하며, 효과적으로 정보를 추출할 수 있다. 현재 이 캠페인을 통해 가장 많은 피해를 입은 국가는 터키, 포르투갈, 독일, 오스트리아, 미국인 것으로 나타났다.

Government VPN Servers Targeted in Zero-Day Attack

수집 날짜

2020-04-07

원문 링크

https://threatpost.com/government-vpn-servers-zero-day-attack/154472/

내용 요약

코로나 펜데믹으로 중국에서 원격으로 일하는 사람들이 늘자 DarkHotel APT그룹에서 VPN을 겨냥한 제로데이 공격이 발견되었다. Qihoo 360의 보안 분석가들에 따르면, 많은 중국 정부 기관들이 사용하는 중국 VPN 제공업체 SangFor에 대한 공격이 3월에 시작되었다. 그들은 4월 첫째 주 현재 여러 엔드포인트에 연결하는 최소 200대의 VPN 서버가 손상되었다고 덧붙였다. SangFor VPN은 클라이언트가 서버에 연결하기 시작하면 자동으로 트리거되는 업데이트에 취약성이 있다. 클라이언트는 연결된 VPN 서버의 고정 위치에 있는 구성 파일에서 [an] 업데이트를 받고, SangforUD.exe라는 프로그램을 다운로드한다. 클라이언트는 실행 파일을 다운로드하기 전에 보안 검사를 하지 않는다. 그 결과, 공격자들은 세션을 가로채고, 업데이트 구성 파일을 변경하고, 업데이트 프로그램을 자신의 악성 코드로 대체할 수 있다고 연구원들은 말했다.