멀웨어 로더 발락, 6개월 작업 끝에 모듈 구성의 정찰 도구로 변해

수집 날짜

2020-06-01

원문 링크

https://www.boannews.com/media/view.asp?idx=88548&kind=4&sub_kind=

내용 요약

발락은 시스템을 먼저 침해한 뒤 추가 멀웨어를 심는 일종의 로더 였는데, 최근에는 크리덴셜 및 민감정보를 수집하는 정찰용도구가 되었다고 보안업체 사이버리존이 발표했다. 또한 지난 6개월동안 악성프로그램 개발행위가 눈에 띄게 늘어났다고 한다. 발락 개발자들은 6개월 기간안에 20개의 버전을 발표했고 독일과 미국의 기업들로 표적으로 공격중에 있다.

깃허브에서 발견된 멀웨어, 개발자들의 공급망을 감염시켜

수집 날짜

2020-06-01

원문 링크

https://www.boannews.com/media/view.asp?idx=88544&kind=4&sub_kind=

내용 요약

깃허브 리포지터리들을 통해 멀웨어가 배포중이라고 한다. 조사결과 넷빈즈(NetBeans)라는 프로젝트를 침해하기 위해 만들어진 멀웨어이고 깃허브에서 한번도 발견되지 않았던 것이었다. 해당 멀웨어는 옥토퍼스 스캐너(Octopus Scanner)라는 오픈소스 공급망 멀웨어로 개발자들을 통해 전염되는 멀웨어 유형이다. 개발자의 리포지터리에 저장된 프로젝트 요소들을 감염시킴으로서, 백도어를 광범위하게 퍼트필수 있는 기능을 가지고 있다.

7년 동안 5000개 사이트 변조시킨 브라질 핵티비스트 찾아냈다

수집 날짜

2020-06-01

원문 링크

https://www.boannews.com/media/view.asp?idx=88537&kind=4&sub_kind=

내용 요약

2013년부터 현재까지 5천개가 넘는 웹사이트를 변조시켰고, 40개국에 피해를 준 핵티비스트가 발각되었다. 범인은 브라질에 20대 남성인 것으로 밝혀졌으며 현제 체포여부는 불명확하다. 해당 해커는 반다더갓(VandatheGod)라는 이름으로 활동하였으며 브라질,아르헨티나, 태국, 베트남 등 수십 개국에서 활동하며 웹사이트 변조 공격을 진행해왔다. 모든 공격이 다 정치적인 동기가 있었던 것은 아니지만 주로 반정부 적인 동기를 가지고 공격을 저질러 온 것으로 보인다. 덜미를 잡힌것은 본인의 정치적인 성향을 참지 못하고 소셜 미디어에 각종 자료를 상세히 업로드 한것이 빌미가 되었다.

'코로나19' 틈탄 금융권 사이버공격 7.3만건 발견

수집 날짜

2020-06-01

원문 링크

https://www.zdnet.co.kr/view/?no=20200529102858

내용 요약

금융보안원은 코로나19 관련 사이버위협 동향에 대해, 주요 지능형지속위협(APT)공격 그룹들의 악성코드와 메일을 추적 분석한 '코로나19 금융 부문 사이버위협 동향' 보고서를 29일 발표했다. 보고서에 따르면 코로나19 이용 공격은 악성코드 유포, 피싱사이트 접속, 금융사기 실행, 악성 앱 설치 등의 형태로 발생하고 있다. 현재까지는 코로나 19를 악용한 사이버 공격으로 인한 금융회사의 심각한 위협 사례는 확인되지 않으나, 지속적으로 유의할 필요가 있다고 발표했다.

NSA Warns of Sandworm Backdoor Attacks on Mail Servers

수집 날짜

2020-06-01

원문 링크

https://threatpost.com/nsa-sandworm-spy-attacks-exim-mail-servers/156125/

내용 요약

NSA에 따르면 러시아 APT 그룹인 Sandworm 은 Exim 이메일 서버 취약점을 악용한 공격을 진행중인 것으로 발표했다. Exim Mail Transfer Agent(MTA) 소프트웨어에 존재하는 취약점(CVE-2019-10149)을 악용하면 인증되지 않은 원격 공격자가 Exim 메일 서버에서 루트 권한으로 명령을 실행한 공격을 할수 있다. 또한 프로그램을 설치 및 데이터를 수정하고 새로운 계정을 생성할 수 있다. 패치된 버전은 Exim MTA를 버전 4.93 이상으로 업데이트를 권고한다..

해킹그룹 ‘APT32’, 코로나19 첩보수집 위해 활발히 활동 중…주의

수집 날짜

2020-04-24

원문 링크

https://www.dailysecu.com/news/articleView.html?idxno=108105

내용 요약

APT32 공격자, 스피어피싱 이메일통해 악성 첨부 파일 전달

파이어아이에서 코로나19 관련 정보를 수집하기 위해 정부지원을 받는 APT32 그룹이 활발히 활동하고 있는것이 발견되어 주의를 당부했다. APT32는 베트남 정부와 관련된 것으로 추정되며 코로나19가 처음 발견된 우한시 중국 비상관리부를 표적으로 여러차례 스피어피싱 메세지 공격을 하였다. 이들이 주로 사용하는 악성코드는 OUNDBITE, WINDSHIELD, PHOREAL, BEACON, KOMPROGO 등이다.

잊을 만 하면 등장하는 ‘발주서’ 악성메일, 이번엔 포스코 사칭했다

수집 날짜

2020-04-24

원문 링크

https://www.boannews.com/media/view.asp?idx=87769

내용 요약

포스코 '발주서'를 사칭한 악성메일이 23일 오전에 발견됐다. 실존 기업을 사칭하고 있어 주의가 필요하다. 첨부된 파일은  ‘RFQ-PO-067MR65870-NO#10-Order&Specifications' 이미지(.img)파일이며 압축해제시 실행파일(.exe)이 나온다.

원격수업 피싱사이트에서 랜섬웨어 유포

수집 날짜

2020-04-24

원문 링크

http://www.inews24.com/view/1259966

내용 요약

코로나19 사태로 온라인 원격수업이 시작되면서 원격수업 관련 파일 다운로드를 유도하는 피싱사이트에서 랜섬웨어가 유포된 사례가 발견됐다. 공격자는 보안이 취약한 웹서버를 해킹하여 자신이 만든 원격수업 관련프로그램 다운로드 위장 피싱 웹페이지를 업로드했다. 원격수업에 필요한 프로그램을 다운받기위하여 검색하는 '구글 클래스룸', '웹캠 드라이버'등을 검색하면 해당 사이트가 검색 결과에 노출된다. 따라서 원격수업을 위한 파일과 프로그램은 공식 페이지에서 다운받아야한다.

SeaChange video platform allegedly hit by Sodinokibi ransomware

수집 날짜

2020-04-24

원문 링크

https://www.bleepingcomputer.com/news/security/seachange-video-platform-allegedly-hit-by-sodinokibi-ransomware/

내용 요약

SeaChange 비디오 플랫폼이 Sodinokibi 랜섬웨어에 의해 공격받았다. 공격자들은 SeaChange 전용 페이지를 만들고 해당 기업에서 유출한 데이터 이미지를 게시하여 몸값을 요구하고 있다. 서버의 폴더 스크린샷, 은행 명세서, 보험증서, 운전면허증 펜타곤 주문형 비디오 서비스 제안서 표지서신등을 게시하였다. 아직 정확하게 얼마를 요구했는지는 알려지지 않았다.

Valve Confirms CS:GO, Team Fortress 2 Source-Code Leak

수집 날짜

2020-04-24

원문 링크

https://threatpost.com/valve-confirms-csgo-team-fortress-2-source-code-leak/155092/

내용 요약

Valve에서 인기 게임 CS: Counter-Strike: Global Attack에서 소스코드가 유출된 것이 발견되었다고 발표했다. 소스 코드 액세스는 일반적으로 소스 엔진 면허인, 밸브 직원 및 계약업체로 제한되어 있는다 유출로 인해 악성 프로그램 설치, 원격 코드 실행 공격 또는 제로 데이 공격 개발 등과 같은 심각한 보안 문제에 대한 우려를 제기하고 있다.

[긴급] 코로나19 키워드로 국내 유입된 영문 악성메일 주의보

수집 날짜

2020-04-09

원문 링크

https://www.boannews.com/media/view.asp?idx=87447

내용 요약

코로나19를 키워드로 다양한 악성메일이 유포되고 있는 가운데, 최근에는 확산방지 가이드라인을 사칭한 영문 악성메일이 발견돼 사용자의 주의가 요구된다. 보안전문업체 이스트시큐리티 시큐리티대응센터(ESRC)는 코로나19(Covid-19) 바이러스 키워드를 활용하여 작성된 악성 이메일들이 국내로 지속적으로 유입되고 있다면서, 특히 코로나 19 바이러스가 워낙 글로벌한 이슈이다 보니 영문으로 작성된 코로나 19 바이러스 관련 이메일도 자주 발견되고 있다고 밝혔다. 첨부파일을 열람할 경우 악성코드가 실행되며, 사용자PC에 백도어를 설치하고 추가 악성코드를 설치하는 등의 악의적인 행위를 수행하므로 코로나19 바이러스 관련 이메일을 수신했을 경우 되도록 열람을 자제해 달라고 ESRC는 권고했다.

경찰청 사칭한 ‘경찰청 초대’ 악성 메일 유포됐다

수집 날짜

2020-04-09

원문 링크

https://www.boannews.com/media/view.asp?idx=87476

내용 요약

최근 경찰청을 사칭한 악성메일이 발견돼 사용자들의 주의가 요구된다. 이스트시큐리티 ESRC(시큐리티대응센터)는 7일 오후부터 경찰청을 사칭하고, 악성파일이 첨부된 악성메일이 발견됐다고 밝혔다. 메일에는 문서.iso 파일이 첨부되어 있으며, 압축파일로 풀어보면 ‘문서.exe’ 파일이 포함되어 있다. 최초 첨부 파일인 ‘문서.exe’은 닷넷 파일로 ‘Remcos’ 페이로드를 인젝션하는 기능을 수행한다. Remcos 악성코드는 명령제어 악성코드로, 명령제어(C&C) 통신 이후 공격자 명령에 따라 △키로깅 △파일 통제(삭제/다운로드/업로드) △프로세스 통제 △레지스트리 통제 △‘cmd.exe’ 실행 및 결과 업로드 △음성 녹음 △화면 녹화 △브라우저 정보 탈취 △시스템 종료 및 재시작과 같은 기능을 수행한다. 파일 다운로드 및 업로드 코드를 살펴보면, 해당 명령에 따라 각각 감염 PC에 추가적으로 악성코드 다운로드 및 드롭과 정보 탈취가 이루어 질 수 있다.

러시아 마트료시카 인형과 닮은 안드로이드 멀웨어 캠페인 발견돼

수집 날짜

2020-04-09

원문 링크

https://www.boannews.com/media/view.asp?idx=87472

내용 요약

삭제가 불가능한 멀웨어인 엑스헬퍼(xHelper)가 발견됐다. 안드로이드 장비들을 감염시키고 있으며, 종국에는 트리아다(Triada)라는 트로이목마를 설치하는 것으로 분석됐다. 엑스헬퍼 페이로드는 사용자의 고유 ID나 생산자, 모델명, 펌웨어 버전 등 핑거프린팅에 관여되는 정보를 수집한다. 이 정보는 원격에 있는 공격자들의 서버로 전송되며, 또 다른 드로퍼가 4번 설치된다.  최종 설치되는 트리아다는 여러 가지 익스플로잇을 실행해 루트 권한을 가져가는 기능을 가지고 있다. 카스퍼스키는 안드로이드 6과 7을 기반으로 한 중국 제품들이 특히 취약하다고 경고했다. 공격자는 루트 권한 획득 후 안드로이드 시스템 부팅 시 시스템 파티션이 읽기 전용 모드로 마운팅 되는 걸 변경할 수 있다고 한다. 공격 지속성을 확보한 이후 트리아다는 추가 악성 프로그램을 다운로드 받아 설치한다. 현재까지는 슈퍼유저용 명령을 실행하는 백도어들이 주로 설치되고 있다.  공장 초기화 해도 삭제되지 않아, 장비 리플래시를 하든가 펌웨어를 다른 것으로 대체해야 한다.

파이어아이,‘취약점 관리를 위한 인텔리전스 리포트’ 발표

수집 날짜

2020-04-09

원문 링크

http://www.denews.co.kr/news/articleView.html?idxno=12719

내용 요약

파이어아이가 ‘취약점 관리를 위한 인텔리전스 리포트’를 발표했다. 파이어아이 맨디언트 위협 인텔리전스(Mandiant Threat Intelligence) 팀에 따르면 제로데이 공격은 2019년 크게 증가했다. 지난 한 해 발견된 제로데이 공격 수가 지난 3년간 일어난 공격을 모두 더한 수를 넘어섰을 정도다. 또한 제로데이 취약점을 이용하는 공격 그룹의 유형도 이전보다 확대됐다. 구매한 사이버 공격 도구와 서비스를 이용해 제로데이 취약점을 노리고 공격한 사례는 2017년 말부터 크게 증가했다. 지역적 측면에서는 중동지역을 표적으로 한 제로데이 공격 사례가 증가했으며, 해당 지역과 연관성이 있는 공격그룹에 의한 것으로 관찰됐다.

New IoT botnet launches stealthy DDoS attacks, spreads malware

수집 날짜

2020-04-09

원문 링크

https://www.bleepingcomputer.com/news/security/new-iot-botnet-launches-stealthy-ddos-attacks-spreads-malware/

내용 요약

새로운 IoT 봇넷 은밀한 DDoS 공격 실행, 악성 프로그램 배포

새로운 봇넷은 12개의 CPU 아키텍처를 위해 컴파일된 페이로드(payload)를 이용해 IoT 기기를 적극적으로 공략해 여러 종류의 디도스(DDoS)를 출시하고 다양한 종류의 악성 프로그램을 확산시키고 있다. 다크 넥서스 봇넷은 비트디펜더 연구자들에 의해 이름이 붙여진 것으로, 처음 발견된 이후 매우 빠른 개발 과정을 거쳤다는 것을 발견했다. 비트디펜더의 보고서에 따라 2019년 12월부터 2020년 3월 사이에 새로운 기능과 개선점을 포함한 약 40가지 버전(버전 4.0부터 8.6까지)이 출시되었다. 봇 바이너리에서 발견된 문자열과 봇 바이너리의 이름에 근거하여, 맬웨어는 그리스로 추정된다.