넷서포트 매니저의 악성 버전, 코로나 피싱 메일 타고 번져

수집 날짜

2020-05-26

원문 링크

https://www.boannews.com/media/view.asp?idx=88429

내용 요약

원격 접근 도구인 넷서포트 매니저(NetSupport Manager)를 퍼트리는 캠페인이 발견 됐다. 넷서포트 매니저는 원격 기술 지원 및 문제 해결을 위한 정상적인 도구이다. 이번 스피어 피싱 캠페인에 발견된 넷서포트 매니저는 공격자들이 악의적으로 변경해둔 악성 버전이다. 현재 코로나를 미끼로 악성 프로그램을 유포중이며 엑셀파일을 통해 공격이 시작된다. 악성 넷서포트는 RAT로서 C&C서버와 연결하여 명령을 실행하는 기능이 있다.

라크나로커 랜섬웨어, 피해자 시스템에 가상기계 설치

수집 날짜

2020-05-26

원문 링크

https://www.boannews.com/media/view.asp?idx=88394

내용 요약

라그나로커(Ragnar Locker)라는 랜섬웨어에 새로운 기능이 추가되었다. 기존 라그나로커는 원격 데스크톱 프로토콜(RDP) 연결을 겨냥하여 네트워크를 침해하는 방법을 선호하는 것으로 알려져 있었다. 또한 암호화 전에 데이터를 훔쳐내어 이중 협박 전략을 사용한다. 최근에 소포스에서 공개한 새로운 기능으로는 Virtual Box 설치하고 가상환경 속에 랜섬웨어를 설치 및 실행하여 탐지를 피해가는 기능이다. 로컬PC의 보안 장치들은 랜섬웨어를 탐지하거나 삭제할수 없으나 가상 환경 속에 랜섬웨어는 로컬PC를 암호화 시키면서 탐지를 우회한다.

세계 첫 양자보안 스마트폰 "현존 기술론 해킹 불가능"

수집 날짜

2020-05-26

원문 링크

https://www.zdnet.co.kr/view/?no=20200525163023

내용 요약

SK텔레콤이 삼성전자와 협업을 통해 '갤럭시A 퀀텀'을 출시했다. 세계 최초로 양자보안을 적용한 스마트 폰이다. 갤럭시A 퀀텀에는 SK 텔레콤 자회사 IDQ가 개발한 양자난수생서(QRNG) 칩셋이 탑재됐다.  해당 칩셋은 스마트폰 안에서 무작위의 양자 난수를 만들어 낸다. 적용 방식은 기존방식과 동일하게 1단계로 로그인 절차를 걸쳐 2단계 양자 기반의 일회용 비밀번호(OTP) 인증을하는 2단계 인증 방식이다. 갤럭시 A 퀀텀은 복제가 불가능하고, 중첩성, 불확정성 등의 역학적 특징을 갖는 양자를 활용하여 현존하는 기술로는 스마트폰 해킹이 불가능하다.

중동 노리는 APT 그룹 샤퍼, 자급자족 전략 통해 캠페인 벌여

수집 날짜

2020-05-26

원문 링크

https://www.boannews.com/media/view.asp?idx=88428

내용 요약

샤퍼(Chafer)라는 APT 그룹이 새로운 사이버 범죄 캠페인을 시작하였다. 샤퍼는 2014년부터 활동해온 APT 그룹으로 주로 중동 국가의 사회 기반 시설들을 공격해왔다. 샤퍼 그룹은 이번 미 정부 기관들과 운송 기업들을 공격한것으로 알려졌다. 이번 공격에 사용된 기법은 "리빙 오프 더 랜드(Living off the land)" 기법으로 공격 도구를 자체적으로 만든 것이 아닌 시스템에 있는 도구들이나 흔히 구할수 있는 컴퓨터 도구를 악용하여 목적을 달성하였다. 피해자 시스템에 있는 유틸리티를 공격에 활용하기 때문에 탐지가 어려운 상태이다. 해당 캠페이는 보안업체 비트디펜더가 발견하였으며 현재 캠페인은 중단된 상태라고 한다. 해당 국가나 지역의 담당 기관이 캠페인에 대해 조치를 취한것으로 보인다.

Silent Night Banking Trojan Charges Top Dollar on the Underground

수집 날짜

2020-05-26

원문 링크

https://threatpost.com/silent-night-banking-trojan/155981/

내용 요약

Silent Night 라고 불리는 Zeus 뱅킹 트로이 목마의 업그레이드 버전이 발견돼었다. Google Chrome, Mozilla Firefox 및 Internet Explorer를 지원하는 웹 주입 및 폼 그래버, HiddenVNC 및 SOCKS5를 통한 프록시 서비스, 브라우저 활동을 위한 키로거, 스크린샷 촬영 기능, Chrome, Firefox 및 IE용 쿠키 스틸러, Chrome용 암호 스틸러등의 기능을 가지고 있다고 한다. 모든 모듈들은 난독화 및 랜덤화 되어 보관한다고 한다.

"취임식 앞둔 대만 총통부, 중국발 추정 해킹 공격받아"

수집 날짜

2020-05-18

원문 링크

https://www.yna.co.kr/view/AKR20200517031600009

내용 요약

5/17일 대만 총통부가 15일 중국발로 추정되는 해킹공격을 받았다고 보도되었다. 대만 대통령 취임식이 4흘전에 받은 공격이다. 해당 공격으로 대만 총통과 행정원장의 4월 면담 준비 자료 등 일부자료가 외부로 유출되었다.  유출된 문서중에는 차기 내각 인사에 대한 내용도 있었으며 현재 조사중으로 중국 네티즌의 소행으로 추정된다.

[긴급] 실존기업 사칭 ‘발주서’ 악성메일 줄줄이 유포

수집 날짜

2020-05-18

원문 링크

https://www.boannews.com/media/view.asp?idx=88217

내용 요약

5/14,15일 실존 기업의 이름을 사칭한 '발주서' 형태의 악성메일이 연이어 발견되었다. 이번에 발견된 악성메일은 실존 기업의 이름을 사칭한 것 뿐 아니라 실제로 존재하는 직원의 이름까지 그대로 사용하여 자칫 잘못하면 속을수 있어 주의를 요구한다. 해당 메일 내용은 매우 자연스러워 한국어에 익숙한 사용자일수 있다.  ‘T○○○ 05-14 (○.○.CHOI) 발주서 첨부하여 드립니다.JPEG’란 이름의 파일은 이미지(.img) 파일을 가장한 exe 파일이 첨부되어 있다. 해당 파일은 사용자의 정보를 수집하는 것으로 분석되었다.

해킹그룹 ‘툴라’, HTTP 상태코드 사용해 감염 호스트 제어 멀웨어 사용해 공격

수집 날짜

2020-05-18

원문 링크

https://dailysecu.com/news/articleView.html?idxno=108807

내용 요약

카스퍼스키에서 HTTP 상태 코드에 의존하는 매커니즘을 사용해 감염된 호스트를 제어하는 새로운 버전의 'COMpfun' 멀웨어를 확인했다고 밝혔다. 해당 공격의 배후는 '툴라(Turla)'로 알려진 러시아 국가 후원 APT 그룹으로 알려져있다. 이번에 발견된 멀웨어 'COMpfun'은 피해자를 감염시키고 시스템 정보, 키 입력 기록, 사용자 데스크탑의 스크린 샷 등을 수행하는 원격 액세스 트로이 목마(RAT)로 수집된 모든 데이터는 원격 C&C 서버로 유출된다. 이번에 발견된 버전에는 USB를 통한 악성코드 전파기능, 새로운 C&C 통신 시스템 기능이 추가되었다.

UPS 청구서를 가장한 피싱메일 주의

수집 날짜

2020-05-18

원문 링크

http://www.hauri.co.kr/security/issue_view.html?intSeq=403&page=1&article_num=316

내용 요약

UPS 청구서를 가장한 악성 스크립트 파일이 유포되고 있어 사용자의 주의가 요구된다. 해당 피싱 메일은 세계정인 물류 운송업체 UPS로 사칭하고 있으며 첨부된 엑셀파일 실행시 2개의 그림과 1개의 버튼이 삽입되어 있다. 레이아웃이 변경되거나 버튼 클릭시 WMIC를 이용한 파워쉘 스크립트가 실행되며 C&C 서버와 통신하여 추가 악성 파일을 다운로드 한다.

Hoaxcalls Botnet Exploits Symantec Secure Web Gateways

수집 날짜

2020-05-18

원문 링크

https://threatpost.com/hoaxcalls-botnet-symantec-secure-web-gateways/155806/

내용 요약

시만텍 보안 웹게이트를 활용한 Hoaxcalls Botnet 활동이 발견되었다. 해당 공격은 웹게이트웨이 원격 코드 실행 취약점을 악용한 공격으로 아직 패치되지 않은 버전의 버그를 익스플로잇한 공격이다. 해당 멀웨어 기능에는 트래픽 프록시, 업데이트 다운로드, 장치 재시작에 대한 지속성 유지, 재부팅 방지 및 DDoS (Distributed Denial-of-Service) 공격 기능이 포함되어 있다. Symantec Secure Web Gateway 버전 5.0.2.8에서 취약점이 존재하며 5.2.8버전에서는 패치되었다.