새로운 킨싱 멀웨어 캠페인 포착…도커 서버들 타깃

수집 날짜

2020-04-07

원문 링크

https://www.dailysecu.com/news/articleView.html?idxno=107538

내용 요약

클라우드 보안 회사 아쿠아 시큐리티(Aqua Security)의 지난 금요일 블로그 게시물에 따르면 작년에 시작된 암호채굴 캠페인이 여전히 진행중에 있다고 밝혔다. 이 공격은 도커 인스턴스를 대상으로 하는 멀웨어 캠페인 리스트 중 하나로 시스템이 손상될 경우 해커 그룹은 방대한 컴퓨팅 리소스에 무제한 접근이 가능하다. 아쿠아의 보안 연구원에 따르면 해커가 노출된 API 포트가 있는 도커 인스턴스를 찾으면 이 포트에서 제공하는 액세스를 사용하여 우분투 컨테이너를 가동하여 킨싱(Kinsing) 악성코드를 다운로드, 설치한다. 이 악성코드의 주요 목적은 해킹된 도커 인스턴스에서 암호화폐를 채굴하는 것이지만 보조 기능도 함께 제공된다. 여기에는 로컬로 실행될 수 있는 다른 멀웨어를 제거하는 스크립트를 실행하는 동시에 회사 컨테이너 네트워크로 확산하기 위해 로컬 SSH 자격증명을 수집하여 동일한 멀웨어로 다른 클라우드 시스템을 감염시키는 스크립트가 포함된다.

지난 2년동안 수많은 MS-SQL 서버를 감염시킨 중국발 공격 "볼가"

수집 날짜

2020-04-07

원문 링크

http://www.itworld.co.kr/news/149265

내용 요약

지난 2019년 12월부터 시작된 캠페인 볼가(Vollgar)는 중국으로 추정되고 있으며 2개의 C&C 플랫폼을 사용하는것으로 밝혀졌다. 공격자는 데이터베이스 서버 액세스 권한을 획득한 공격자는 구성을 변경해 MS-SQL을 통한 WMI 스크립팅과 명령어 실행을 활성화한다(관리자가 비활성화해둔 경우). 또한 cmd.exe, ftp.exe, 그리고 기타 중요한 바이너리를 실행 가능하도록 하고, 데이터베이스와 운영체제에 대한 백도어 관리 계정을 추가한다. 감염 과정에서 기존 악성코드가 시스템 재부팅 시에 자동으로 시작되거나 정상적인 실행 파일에 연결하기 위해 사용할 수 있는 여러 레지스트리 키가 삭제된다. 또한 배포된 페이로드(SQLAGENTIDC.exe 또는 SQLAGENTVDC.exe)는 실행 중인 프로세스에서 알려진 악성코드를 스캔해 제거하고, 이후 여러 원격 액세스 모듈과 XMRig 기반의 암호화 마이닝 프로그램을 다운로드한다. 원격 액세스 모듈은 22251, 9383, 3213 등이 포함된 다양한 포트로 C&C 도메인과 접촉한다. 크립토마이닝 구성요소는 서버의 CPU 리소스를 사용해 모네로(Monero)와 기타 VDS 또는 볼러(Vollar) 크립토코인을 채굴한다(그래서 이 공격의 이름도 볼가다). C&C 도메인도 무료 TLD 아래에서 이 코인의 이름을 사용한다. 현재 매일 평균 약 2,000대의 데이터베이스 서버를 감염시킨것으로 들어나 DB 서버를 인터넷에 불필요한 노출을 피해야한다.

정상 인증서에 숨은 섀도 포스, 7년간의 행적 드러나

수집 날짜

2020-04-07

원문 링크

https://www.ahnlab.com/kr/site/securityinfo/secunews/secuNewsView.do?curPage=1&menu_dist=2&seq=29129

내용 요약

2020년 1월 아사히 신문에서 미쓰시비 전기 회사가 대규모 사이버 공격을 받았다고 발표했다. 이 공격에는 오로라 판다(Aurora Panda), 엠디비(Emdivi), 틱(Tick), 블랙테크(BlackTech) 등 4 개의 공격 그룹이 관련되었다고 보도했다. 안랩은 이 그룹중 오로라 판다라는 그룹에 주목하여 분석한결과 오퍼레이션 섀도 포스(Operation Shadow Force)라는 공격 흔적을 발견했다. 오퍼레이션 섀도 포스(Operation Shadow Force)는 2013년 이후 2020년 현재까지 섀도 포스(Shadow Force)와 Wg드롭(Wgdrop)으로 대표되는 악성코드로 한국의 기업과 기관을 공격하는 그룹의 활동이다. 이 그룹의 확인된 최초 공격은 2013년 3월이지만 악성코드 제작 일자 등을 고려했을 때 2012년 이전에도 활동했을 가능성이 높다. 피해 시스템은 보통 윈도우 서버이며 공격자는 아직 확인되지 않은 방법으로 시스템에 침입한다. 많은 관련 악성코드는 aio.exe 파일을 통해 다운로드 되었다. SQL 관련 파일인 sqlservr.exe 파일에서 aio.exe 파일을 다운 로드 한 기록이 있어 공격자는 SQL 서버를 장악 후에 aio.exe 파일을 다운로드 했다고 생각된다. Htran(aio.exe) 파일을 통해 관련 악성코드를 다운로드 하고 윈도우 실행 파일을 패치시키는 Pemodifier (iatinfect.exe)로 정상 프로그램을 변조해 특정 DLL 파일이 함께 실행되도록 한다. 변조된 EXE 파일이 실행되고 섀도 포스(Shadow Force) 등의 악성 DLL이 함께 실행된다. 일부 시스템은 키로거, 화면 녹화 등의 추가 프로그램을 설치한다. 현재까지 자료를 유출하는 방식은 확인되지 않았다.

또 코로나와 WHO 사칭하는 공격! 이번엔 로키봇 심긴다

수집 날짜

2020-04-07

원문 링크

https://www.boannews.com/media/view.asp?idx=87426

내용 요약

포티가드(FortiGuard)에서 코로나 사태를 악용한 또 다른 피싱 캠페인중 트로이목마의 일종인 로키봇(LokiBot) 발견되어 발표했다. 메일은 영문으로 작성되어있지만 모국어를 구사하는 공격자는 아니라고 판돤되며 피해자를 속이기 위하여 코로나 감염예방을 위한 여러가지 정보를 본문에 작성하였다. 첨부파일은 COVID_19-WORLD HEALTH ORGANIZATION CDC_DOC.zip.arj이라는 이름을 가지고 있다. ARJ 압축파일이며 7-ZIP이라는 유틸리티로 압축을 해제할 수 있다. 이 압축파일을 다운로드 받아 해제하면 DOC.pdf.exe라는 파일이 나타난다. 클릭해 실행할 경우 로키봇이 설치된다. 로키봇은 정보를 탈취하는 트로이목마로 여러 가지 앱들에 저장된 크리덴셜을 찾아 외부로 보낸다. 이번 공격의 경우 정보가 전달되는 곳은 http://bslines.xyz/copy/five/fre.php다.  로키봇은 사이버 범죄자들 사이에서 꽤나 유명한 멀웨어다. 사용이 간단하며, 효과적으로 정보를 추출할 수 있다. 현재 이 캠페인을 통해 가장 많은 피해를 입은 국가는 터키, 포르투갈, 독일, 오스트리아, 미국인 것으로 나타났다.

Government VPN Servers Targeted in Zero-Day Attack

수집 날짜

2020-04-07

원문 링크

https://threatpost.com/government-vpn-servers-zero-day-attack/154472/

내용 요약

코로나 펜데믹으로 중국에서 원격으로 일하는 사람들이 늘자 DarkHotel APT그룹에서 VPN을 겨냥한 제로데이 공격이 발견되었다. Qihoo 360의 보안 분석가들에 따르면, 많은 중국 정부 기관들이 사용하는 중국 VPN 제공업체 SangFor에 대한 공격이 3월에 시작되었다. 그들은 4월 첫째 주 현재 여러 엔드포인트에 연결하는 최소 200대의 VPN 서버가 손상되었다고 덧붙였다. SangFor VPN은 클라이언트가 서버에 연결하기 시작하면 자동으로 트리거되는 업데이트에 취약성이 있다. 클라이언트는 연결된 VPN 서버의 고정 위치에 있는 구성 파일에서 [an] 업데이트를 받고, SangforUD.exe라는 프로그램을 다운로드한다. 클라이언트는 실행 파일을 다운로드하기 전에 보안 검사를 하지 않는다. 그 결과, 공격자들은 세션을 가로채고, 업데이트 구성 파일을 변경하고, 업데이트 프로그램을 자신의 악성 코드로 대체할 수 있다고 연구원들은 말했다.