넷서포트 매니저의 악성 버전, 코로나 피싱 메일 타고 번져

수집 날짜

2020-05-26

원문 링크

https://www.boannews.com/media/view.asp?idx=88429

내용 요약

원격 접근 도구인 넷서포트 매니저(NetSupport Manager)를 퍼트리는 캠페인이 발견 됐다. 넷서포트 매니저는 원격 기술 지원 및 문제 해결을 위한 정상적인 도구이다. 이번 스피어 피싱 캠페인에 발견된 넷서포트 매니저는 공격자들이 악의적으로 변경해둔 악성 버전이다. 현재 코로나를 미끼로 악성 프로그램을 유포중이며 엑셀파일을 통해 공격이 시작된다. 악성 넷서포트는 RAT로서 C&C서버와 연결하여 명령을 실행하는 기능이 있다.

라크나로커 랜섬웨어, 피해자 시스템에 가상기계 설치

수집 날짜

2020-05-26

원문 링크

https://www.boannews.com/media/view.asp?idx=88394

내용 요약

라그나로커(Ragnar Locker)라는 랜섬웨어에 새로운 기능이 추가되었다. 기존 라그나로커는 원격 데스크톱 프로토콜(RDP) 연결을 겨냥하여 네트워크를 침해하는 방법을 선호하는 것으로 알려져 있었다. 또한 암호화 전에 데이터를 훔쳐내어 이중 협박 전략을 사용한다. 최근에 소포스에서 공개한 새로운 기능으로는 Virtual Box 설치하고 가상환경 속에 랜섬웨어를 설치 및 실행하여 탐지를 피해가는 기능이다. 로컬PC의 보안 장치들은 랜섬웨어를 탐지하거나 삭제할수 없으나 가상 환경 속에 랜섬웨어는 로컬PC를 암호화 시키면서 탐지를 우회한다.

세계 첫 양자보안 스마트폰 "현존 기술론 해킹 불가능"

수집 날짜

2020-05-26

원문 링크

https://www.zdnet.co.kr/view/?no=20200525163023

내용 요약

SK텔레콤이 삼성전자와 협업을 통해 '갤럭시A 퀀텀'을 출시했다. 세계 최초로 양자보안을 적용한 스마트 폰이다. 갤럭시A 퀀텀에는 SK 텔레콤 자회사 IDQ가 개발한 양자난수생서(QRNG) 칩셋이 탑재됐다.  해당 칩셋은 스마트폰 안에서 무작위의 양자 난수를 만들어 낸다. 적용 방식은 기존방식과 동일하게 1단계로 로그인 절차를 걸쳐 2단계 양자 기반의 일회용 비밀번호(OTP) 인증을하는 2단계 인증 방식이다. 갤럭시 A 퀀텀은 복제가 불가능하고, 중첩성, 불확정성 등의 역학적 특징을 갖는 양자를 활용하여 현존하는 기술로는 스마트폰 해킹이 불가능하다.

중동 노리는 APT 그룹 샤퍼, 자급자족 전략 통해 캠페인 벌여

수집 날짜

2020-05-26

원문 링크

https://www.boannews.com/media/view.asp?idx=88428

내용 요약

샤퍼(Chafer)라는 APT 그룹이 새로운 사이버 범죄 캠페인을 시작하였다. 샤퍼는 2014년부터 활동해온 APT 그룹으로 주로 중동 국가의 사회 기반 시설들을 공격해왔다. 샤퍼 그룹은 이번 미 정부 기관들과 운송 기업들을 공격한것으로 알려졌다. 이번 공격에 사용된 기법은 "리빙 오프 더 랜드(Living off the land)" 기법으로 공격 도구를 자체적으로 만든 것이 아닌 시스템에 있는 도구들이나 흔히 구할수 있는 컴퓨터 도구를 악용하여 목적을 달성하였다. 피해자 시스템에 있는 유틸리티를 공격에 활용하기 때문에 탐지가 어려운 상태이다. 해당 캠페이는 보안업체 비트디펜더가 발견하였으며 현재 캠페인은 중단된 상태라고 한다. 해당 국가나 지역의 담당 기관이 캠페인에 대해 조치를 취한것으로 보인다.

Silent Night Banking Trojan Charges Top Dollar on the Underground

수집 날짜

2020-05-26

원문 링크

https://threatpost.com/silent-night-banking-trojan/155981/

내용 요약

Silent Night 라고 불리는 Zeus 뱅킹 트로이 목마의 업그레이드 버전이 발견돼었다. Google Chrome, Mozilla Firefox 및 Internet Explorer를 지원하는 웹 주입 및 폼 그래버, HiddenVNC 및 SOCKS5를 통한 프록시 서비스, 브라우저 활동을 위한 키로거, 스크린샷 촬영 기능, Chrome, Firefox 및 IE용 쿠키 스틸러, Chrome용 암호 스틸러등의 기능을 가지고 있다고 한다. 모든 모듈들은 난독화 및 랜덤화 되어 보관한다고 한다.

웹호스팅 업체 아이네임즈, ‘랜섬웨어’ 공격으로 웹포스팅 서버 40대 감염

수집 날짜

2020-05-11

원문 링크

http://www.itworld.co.kr/news/152136

내용 요약

5/8 웹호스팅업체 아이넴임즈 웹호스팅 서버 40대가 랜섬웨어 감염됐다. 11일  현재 DB 서버 15대 중 80%가량 복구를 진행했고, 웹서버 25대 중 7대 가량의 서버 복구를 진행했다. 아직 복구작업을 진행하고 있어 완벽한 정상화까지는 시간이 조금 더 필요한 상황이라고 한다. 아이네임즈 측은 자세한 랜섬웨어 감염 경로나 방법에 대해서는 자세히 밝히지 않았다.

시트릭스 쉐어파일 심각한 보안취약점…개인 파일 접근 허용…주의

수집 날짜

2020-05-11

원문 링크

https://www.dailysecu.com/news/articleView.html?idxno=108589

내용 요약

시트릭스(Citrix)가 쉐어파일(ShareFile) 스토리지 영역 컨트롤러 버전 다수에서 인증 없이 개인 데이터 영역에 접근하는데 악용될 수 있는 취약점 3개를 패치했다고 5일 밝혔다쉐어파일은 기업용 콘텐츠 협업, 파일 공유 및 동기화를 위한 서비스다. 이 보안 취약점 3개는 CVE-2020-7473, CVE-2020-8982, CVE-2020-8983로 등록되었으며 쉐어파일 스토리지 영역 컨트롤러 버전 5.9.0, 5.8.0, 5.7.0, 5.6.0, 5.5.0에 존재한다. 따라서 5.9.1, 5.8.1, 5.7.1, 5.6.1, 5.5.1 버전은 이 취약점에 영향을 받지 않는다. 하지만 시트릭스 측은 “취약한 스토리지 영역 컨트롤러 버전을 통해 생성된 스토리지 영역은, 컨트롤러가 업데이트된 이후에도 위험하다”고 밝혔다.

北 통일정책 연구원 사칭한 '해킹' 주의..해킹조직 ‘금성121’ 대북 주요인사 공격

수집 날짜

2020-05-11

원문 링크

http://kpenews.com/View.aspx?No=838966

내용 요약

지난 10일 '금성121' 이며 새로운 공격 시나리오로 APT 공격을 시도한 정황을 발견됐다. 북 통일정책 연구원을 사칭한 수법으로 대북 종사자의 개인정보를 탈취하려는 사이버 공격이 등장해 주의를 요구한다. 이들은 한달넘게 일상적인 대화만 나누면서 의심을 피하는 치밀함을 보였다. 공격 대상의 개인정보 수집 후 URL 링크나 악성파일을 배포하지 않고 일정기간동안 친분을 쌓는다. 가상의 인물로 위장하여 카카오톡으로 접근하고 최소 1개월 이상 친분을 유지하다 상대방이 자신을 신뢰하면 악성 자료를 보내면서 해킹을 시도한다.

"중국, 美백신 정보 훔치고···한국은 미·일 관리 e메일 해킹"

수집 날짜

2020-05-11

원문 링크

https://news.joins.com/article/23773580

내용 요약

코로나 팬데믹으로 2차 확산위험을 무릅쓰고 경제활동 재개에 들어가면서 백신과 치료제 개발 정보를 확보하려는 해킹시도가 늘어나고 있다. 뉴욕타임스에서 10일 충국 해커들은 미국 연구소의 코로나 백신 치료제 개발정보를 훔치려 하며, 한국의 해커도 WHO와 동맹국인 미국,일본 관리들의 e메일을 해킹시도했다는 내용을 발표했다. 각국이 사이버 경쟁을 하는것은 코로나 팬데믹 속에서 자국의 우위를 차지하려는 목표에서다.

North Korean hackers infect real 2FA app to compromise Macs

수집 날짜

2020-05-11

원문 링크

https://www.bleepingcomputer.com/news/security/north-korean-hackers-infect-real-2fa-app-to-compromise-macs/

내용 요약

북한 라자루스 APT 그룹은 원격 접속 트로이 목마 "Dacls" 배포를 위하여 2단계 인증 (2FA) 앱에 악성코드를 숨겨왔다. Dacls는 윈도우와 리눅스 플랫폼에서 발견된 MacOS용 RAT 모델을 대상으로 한다. "Dacls" 악성코드는 윈도우나 리눅스용에서 동일하게 작송한다.  공격에 사용된 인증서와 개인의 파일 이름이 모두 동일하다.

대만 국영 석유기업 중국발 추정 랜섬웨어 공격받아

수집 날짜

2020-05-07

원문 링크

https://www.mk.co.kr/news/world/view/2020/05/463829/

내용 요약

5/4일 대만 국영 석유기업이 중국발로 추정되는 랜섬웨어 공격을 받았다고 대만언론이 6일 보도했다. 이로 인해 CPC의 컴퓨터 7천여대가 일시 마비되는 바람에 산하 주유소 업무에 일부 차질이 빚어졌다고 전했다. 하지만 석유화학, 천연가스 등 주요 석유제품 생산 및 시스템에는 영향이 없었다고 한다. 5일에는 대만플라스틱석유화학(FPCC)과 반도체 기업인 파워테크테크놀로지(PTI)가 해킹 공격을 받았다. PTI의 북부 신주(新竹)현의 후커우(湖口) 소재 공장 3곳이 랜섬웨어 공격으로 한때 생산에 지장을 받기도 했다. CPC와 FPCC는 국가기반시설 규정에 따라 '정보안전사건'으로 당국에 신고해 대만의 국가안보를 유지하고 중대 범죄를 수사하는 기구인 법무부 산하 조사국이 긴급 조사에 들어갔다. 이와 관련, EBC 방송은 국가안보 관계자가 CPC를 공격한 바이러스의 인터넷 프로토콜(IP)을 분석한 결과 이번 공격이 중국에서 시작된 것이라고 말했다고 보도했다. 관계자는 또 이들 기업에 대한 공격이 랜섬웨어로 위장한 중국의 지능형지속보안위협(APT)으로, 자료의 취득이나 악의적인 공격을 위해 계획된 것으로 보인다고 전했다.

또 다른 고 기반 멀웨어 카이지, 중국에서 나타난 IoT 봇넷

수집 날짜

2020-05-07

원문 링크

https://www.boannews.com/media/view.asp?idx=87997

내용 요약

고 프로그래밍 언어로 만들어진 새로운 봇넷 멀웨어가 발견됐다. 해당 봇넷은 리눅스를 기반으로 한 시스템들을 표적으로 삼아 많은 IOT 장비들이 위험한 상황이라고 한다. 새로 발견된 봇넷은 카이지(Kaiji)라는 이름이 불리며 중국에서 발견됐다고 한다. SSH 브루트 포스에 의해 전파되며, 루트 사용자만을 노린다고 한다. 카이지 봇넷의 주 목표는 디도스 공격으로 루트 접근을 통해 독자적인 네트워크 패킷을 생성하는 방식으로 디도스를 진행한다.

카이지 봇넷 멀웨어가 실행되면, 제일 먼저 /tmp/seeintlog이라는 디렉토리에 스스로를 복제한다. 그런 후 두 번째 인스턴스가 고유한 고루틴(goroutine) 내에서 실행되며, 고유 고루틴이 현재까지 총 13개 발견됐다고 한다. 이 13개 고루틴이 하는 일은 1) C&C 서버와 연결, 2) C&C 서버로부터 추가 명령 가져오기(디도스, SSH 브루트포스 명령, 셸 명령, 자가 삭제 등), 3) 다른 호스트로 연결, 4) 공격 지속성 확보 위한 장치 마련, 5) CPU 사용량 확인, 6) 루트킷을 /etc/32679로 복사 후 30초에 한 번씩 실행시키기 등을 포함한다고 한다. 해당 디도스는 백지에서 개발된것으로 보인다는 특이점을 갖고 있다.

“iOS, 안전하지 않다…iOS 타깃 공격 급증”

수집 날짜

2020-05-07

원문 링크

http://www.datanet.co.kr/news/articleView.html?idxno=145508

내용 요약

최근 IOS 기기를 타깃으로 한 공격이 급증하고 있다. 카스퍼스키 "2020년 1분기 APT 위협 활동 보고서"에 따르면 중국어를 사용하는 APT 그룹 '투세일 정크(Twosail Junk)'는 홍콩 사용자를 대상으로 원격 IOS 익스플로잇 체인을 사용하는 워터링 홀 공격을 진행했다. 또한 북한 APT '라자루스'는 MacOS를 대상으로 '애플제우스(AppleJeus)'캠페인 공격 중이며 암호화폐 관련 악성코드를 배포하고 있다고 한다. 또한 현재 코로나 이슈를 악용한 여러 APT 공격이 증가하고 있기에 IOS 사용자들도 보안의 주의를 기울여야 한다.

SAP "클라우드 제품서 보안 허점 발견"

수집 날짜

2020-05-07

원문 링크

https://www.zdnet.co.kr/view/?no=20200506115257

내용 요약

글로벌 소프트웨어 기업 SAP가 클라우드 제품군 중 일부에 취약점이 발견되었다. 미국지디넷은 SAP가 지난 4일 자사 클라우드 제품 중 일부가 계약 상 또는 법적 보안 표준을 충족하지 못하고 있으며, 대응 조치를 시작했다는 내용을 담은 성명서를 발표했다고 보도했다. 성명서에는 취약점에 대한 구체적 내용은 나와 있지 않다. 아직 보안 업데이트가 이뤄지지 않았기 때문에 구체적 내용을 밝히면 해커가 취약점을 악용할 수도 있다. 회사는 SAP 석세스 팩터, SAP 컨커, SAP 캘리더스 클라우드 제품군, SAP C4C/세일즈 클라우드, SAP 클라우드 플랫폼, SAP 애널리틱스 클라우드 등 취약점 영향 범주에 포함되는 제품군들에 대해 우선순위를 정하고 문제 해결을 실시하고 있다. 아직 해당 취약점을 악용한 보안사고는 발견되지 않았으며 SAP는 이 취약점에 영향을 받는 제품군에 대한 보안 업데이트를 2분기 내로 완료할 예정이다.

Large scale Snake Ransomware campaign targets healthcare, more

수집 날짜

2020-05-07

원문 링크

https://www.bleepingcomputer.com/news/security/large-scale-snake-ransomware-campaign-targets-healthcare-more/

내용 요약

5/4 유럽 최대 병원 제공업체인 프레세니우스 그룹이 Snake 랜섬웨어 공격을 받았다고한다. Snake 랜섬웨어 운영자 들은 지난 몇일동안 수많은 사업체와 하나의 의료기관을 감염시킨 캠페인을 전세계적으로 진행했다. Snake 랜섬웨어 운영자들은 암호화하기전에 데이터를 훔쳤다고 주장하고 있으며 48시간 이내에 돈을 지불하지 않을경우 해당 DB를 유출하겠다고 협박하고 있는 상황이다. Blaiping Computer는 아직 정확하게 DB를 가지고 있는지 파악되지 않았으나 도난당했다는 가정하에 데이터 침해로 가정하고 대응해야 한다고 권고한다.

여러 제조사들에서 만든 라우터의 제로데이, 봇넷들이 노린다

수집 날짜

2020-04-21

원문 링크

https://www.boannews.com/media/view.asp?idx=87664&kind=4&sub_kind=

내용 요약

넷링크에서 만든 파이버 라우터들에게서 발견된 제로데이가 봇넷들에 표적이 되고 있다. 영향을 받고 있는 건 넷링크 기가빗 패시브 옵티컬 네트웍스(Netlink Gigabit Passive Optical Networks) 라우터 제품군이라고 한다. 이 제품군에서 원격 코드 실행을 야기시키는 제로데이 취약점이 발견됐고, 개념증명용 코드가 한 달 전부터 공개되어 온 상태다. 현재 해당 제로데이를 노리는 봇넷 활동이 증가하고 있다.

FBI "정부 지원 해킹조직, 코로나19 백신 연구소 겨냥해 해킹 시도"

수집 날짜

2020-04-21

원문 링크

https://www.etnews.com/20200417000169

내용 요약

코로나19 백신 연구소가 해킹 최대 표적으로 부상했다. 미국 FBI는 16일(현지시간) 미국 아스펜연구소가 주최한 '팬데믹 기간 사이버범죄 대응 방안' 영상회의에 참석해 미국 의료기관과 바이러스 연구소에 침투하려는 정부 지원 해킹 세력을 포착했다고 밝혔다. 미국이 북한 해킹조직 '히든코브라'에 대해 깊이 우려한다는 내용이 포함됐다. 북한은 미국 기반시설을 파괴할 사이버 역량을 보유했으며 금융기관을 갈취하고 국제사회 합의와 완전히 배치되는 악성 사이버 활동을 펼친다고 덧붙였다.

피해자가 입력하지 않아도 되는 비밀번호가 엑셀 파일에 걸렸다?

수집 날짜

2020-04-21

원문 링크

https://www.boannews.com/media/view.asp?idx=87675&kind=4&sub_kind=

내용 요약

보안 업체 트러스트웨이브(Trustwave)에 의하면 최근 엑셀 4.0파일이 포함된 새로운 피싱 캠페인이 발견됐다고 한다.  과거에도 엑셀 4.0 문서에 비밀번호를 걸고 메일 본문에 비밀번호를 적고 사용자를 유도하는 방식에 공격이 있었다. 최근에 발견된 공격은 똑같이 비밀번호가 걸려 있으나 사용자가 직접 비밀번호를 타이핑하지 않아도 문서를 열기만 하면 디폴트 비밀번호인 VelvetSweatshop을 대입해 파일 열기를 시도 한다. 파일이 열리면 악성 매크로를 통해 바이너리가 추가로 다운로드 된다. 이러한 방식으로 현재 라임랫(LimeRAT), 고지(Gozi)라는 트로이목마가 유포중인 것으로 발견되었다.

중국 APT 그룹, 안드로이드 구동 리눅스 서버 10년 간 침투했다

수집 날짜

2020-04-21

원문 링크

https://www.boannews.com/media/view.asp?idx=87668&kind=&sub_kind=

내용 요약

블랙베리가 ‘Decade of the RATs’ 보고서에 중국 APT 5개의 그룹이 안드로이드로 구동되는 리눅스 서버, 윈도우 시스템 및 모바일 디바이스를 10년동안 공격한 사실을 발표했다. 또한 1,000건 이상이 관련된 지적 재산(intellectual property)을 노린 경제 스파이 활동에 대한 인사이트를 발표했다. 대부분의 보안업체가 서버 랙 대신 프론트 용 제품 마케팅에 집중하기 때문에 보안 격차가 생겼고 APT 그룹은 이런 점을 수년간 악용해 왔다.

Foxit PDF Reader, PhantomPDF Open to Remote Code Execution

수집 날짜

2020-04-21

원문 링크

https://threatpost.com/foxit-pdf-reader-phantompdf-remote-code-execution/154942/

내용 요약

Foxit PDF Reader와 PhantomPDF에서 원격코드를 실행할수 있는 취약점이 발견됐다. Foxit Reader는 PDF 파일을 만들고 서명하고 보호하는 도구를 제공하는 무료 버전을 위한 사용자 베이스가 5억 명이 넘는 인기 PDF 소프트웨어다. Foxit Software는 Windows용 Foxit Reader와 Foxit PhantomPDF(버전 9.7.1.29511 이하)에서 20개의 CVE에 연결된 결함을 패치했다. 해당 취약점은 사용자 제공 데이터의 검증 미처리로 인한 원격 코드실행 취약점이며 모든 심각도가 높은 취약점에 대해  공격자는 악성 사이트를 방문하거나 악성파일을 열어야 해당 취약점을 악용할수 있다. 사용자들은 의심스러운 페이지 및 파일을 열지 말아야하며 보안을 위하여 Foxit Reader 및 Phantom용 3D Plugin Beta 9.7.29539버전으로 업데이트를 해야한다.