새로운 IoT 봇넷 다크넥서스, 모듈 구성이라 강력하고 유연해

수집 날짜

2020-04-13

원문 링크

https://www.boannews.com/media/view.asp?idx=87529&kind=4&sub_kind=

내용 요약

보안 업체 비트디펜더가 새로운 IOT 봇넷 다크넥서스를 발견했다. 이번에 발견된 봇넷은 모듈 방식으로 구성되어 있으며 이전 세대의 봇넷 멀웨어인 큐봇과 미라이의 코드 일부를 그대로 내포하고 있기도 하다. 봇넷의 페이로드는 12가지 유형의  CPU 아키텍처에 따라 컴파일링 되었고, 피해자의 환경설정에 따라 동적 배표가 이뤄진다. 그 외에도 '점수 매기기' 시스템도 갖추고 있어 피해자의 시스템 내에서 어떤 프로세스가 추후 위협이 될수 있는지 평가한 후에 해당 프로세스를 강제로 종료 시키기도 한다. 다크넥서스의 최종목적은 디도스 공격 대행 서비스인것으로 보이며 공격을 위한 악성 트래픽을 브라우저가 생성한 안전한 트래픽으로 위장시킬수도 있다.

줌 크리덴셜, 다크웹에서 거래되기 시작해

수집 날짜

2020-04-13

원문 링크

https://www.boannews.com/media/view.asp?idx=87555&kind=4&sub_kind=

내용 요약

화상 회의 플랫폼인 줌에서 '줌 폭탄(Zoom bombing)'공격이 이어짐에 따라 사용자 기업들이 비밀번호를 설정하는 등 화상회의 세션에 대한 보안을 강화하기 시작했다. 그러자 줌 회의 세션 크리덴셜 시장이 다크웹에서 형성되기 시작했다. 위협 첩보 전문업체 인트사이프(InSights)가 다크웹에서 줌 계정 2300개의 DB 거래를 처음 발견하여 보고서를 발표하기도 했다. 지난 10월 보안 전문가들은 줌과 시스코 웹엑스(WebEx) 화상 회의 어플리케이션에서 비밀번호가 걸려있지 않은 회의를 자동화로 찾는 취약점을 발견하였고 해당 업체들은 패치로 해결을 하였다. 하지만 아직 업그레이드를 하지 않거나 비밀번호를 미설정하는 사용자들도 있어 주의가 요구된다.

코로나19 틈타 "저금리 대출" 사기 극성...'전화 가로채기' 수법

수집 날짜

2020-04-13

원문 링크

https://www.ytn.co.kr/_ln/0103_202004130622457909

내용 요약

코로나 19 사태를 악용하여 생계가 어려워진 사람들에게 보이스피싱, 스미싱등 기승을 부리고 있다. 필수 대출 절차라며 의심없이 애플리케이션 설치를 유도하고 기존에 대출을 문제 삼으며 약정 위반이니 돈을 당장 갚으라고 압박하여 갈취를 한다. 설치된 앱에는 악성코드가 심어져 있고 전화 가로 채기 수법으로 피해자를 혼란스럽게 한다.

안랩, 4·15 총선 노린 악성코드 발견…北 해킹그룹 ‘킴수키’가 만든 듯

수집 날짜

2020-04-13

원문 링크

http://www.donga.com/news/article/all/20200412/100621539/1

내용 요약

보안 업체 안랩은 4/15 국회의원 선거 관련 문서 형태의 악성코드가 유포되고 있다고 12일 밝혔다. 현재 '킴수키' 조직으로 추정되고 있으며 해당 문서를 열게되면 C&C 서버를 통해 악성파일이 다운로드 받아진다. 해당 파일은 정보유출을 목적으로 제작되어 있으며 PC 정보를 수집하여 C&C 서버로 보낸다.

New Wiper Malware impersonates security researchers as prank

수집 날짜

2020-04-13

원문 링크

https://www.bleepingcomputer.com/news/security/new-wiper-malware-impersonates-security-researchers-as-prank/

내용 요약

장난으로 보안 연구자를 가장한 새로운 와이퍼 멀웨어가 발견됐다. 해당 멀웨어는  windows가 시작하기 전에 컴퓨터를 잠근 뒤 유명 보안연구원 2명을 사칭하여 메세지를 띄운다. "SentinelOne Labs Ransomware" 라는 또다른 변종은 'Vitali Kremez'(보안연구원)만을 대상으로 그의 이메일주소와 전화번호를 공개하고 있다. Windows가 시작되기전에 컴퓨터를 잠근 뒤 돈을 요구하는 악성코드는 운영체제가 시작되지 않도록 컴퓨터의 '마스터 부트 레코드'를 대체하고 대신 몸값을 요구하는 메세지를 표시하기 때문에 MBRLockers라고 불린다. 이런 유형의 감염은 페티아와 같은 랜섬웨어 공격에 이용되거나 사람들이 자신의 파일에 접근하는 것을 막기 위한 파괴적인 와이퍼로 이용된다. (와이퍼는 감염된 컴퓨터의 하드 드라이브를 지우려는 의도의 멀웨어 클래스입니다.)