대만 국영 석유기업 중국발 추정 랜섬웨어 공격받아

수집 날짜

2020-05-07

원문 링크

https://www.mk.co.kr/news/world/view/2020/05/463829/

내용 요약

5/4일 대만 국영 석유기업이 중국발로 추정되는 랜섬웨어 공격을 받았다고 대만언론이 6일 보도했다. 이로 인해 CPC의 컴퓨터 7천여대가 일시 마비되는 바람에 산하 주유소 업무에 일부 차질이 빚어졌다고 전했다. 하지만 석유화학, 천연가스 등 주요 석유제품 생산 및 시스템에는 영향이 없었다고 한다. 5일에는 대만플라스틱석유화학(FPCC)과 반도체 기업인 파워테크테크놀로지(PTI)가 해킹 공격을 받았다. PTI의 북부 신주(新竹)현의 후커우(湖口) 소재 공장 3곳이 랜섬웨어 공격으로 한때 생산에 지장을 받기도 했다. CPC와 FPCC는 국가기반시설 규정에 따라 '정보안전사건'으로 당국에 신고해 대만의 국가안보를 유지하고 중대 범죄를 수사하는 기구인 법무부 산하 조사국이 긴급 조사에 들어갔다. 이와 관련, EBC 방송은 국가안보 관계자가 CPC를 공격한 바이러스의 인터넷 프로토콜(IP)을 분석한 결과 이번 공격이 중국에서 시작된 것이라고 말했다고 보도했다. 관계자는 또 이들 기업에 대한 공격이 랜섬웨어로 위장한 중국의 지능형지속보안위협(APT)으로, 자료의 취득이나 악의적인 공격을 위해 계획된 것으로 보인다고 전했다.

또 다른 고 기반 멀웨어 카이지, 중국에서 나타난 IoT 봇넷

수집 날짜

2020-05-07

원문 링크

https://www.boannews.com/media/view.asp?idx=87997

내용 요약

고 프로그래밍 언어로 만들어진 새로운 봇넷 멀웨어가 발견됐다. 해당 봇넷은 리눅스를 기반으로 한 시스템들을 표적으로 삼아 많은 IOT 장비들이 위험한 상황이라고 한다. 새로 발견된 봇넷은 카이지(Kaiji)라는 이름이 불리며 중국에서 발견됐다고 한다. SSH 브루트 포스에 의해 전파되며, 루트 사용자만을 노린다고 한다. 카이지 봇넷의 주 목표는 디도스 공격으로 루트 접근을 통해 독자적인 네트워크 패킷을 생성하는 방식으로 디도스를 진행한다.

카이지 봇넷 멀웨어가 실행되면, 제일 먼저 /tmp/seeintlog이라는 디렉토리에 스스로를 복제한다. 그런 후 두 번째 인스턴스가 고유한 고루틴(goroutine) 내에서 실행되며, 고유 고루틴이 현재까지 총 13개 발견됐다고 한다. 이 13개 고루틴이 하는 일은 1) C&C 서버와 연결, 2) C&C 서버로부터 추가 명령 가져오기(디도스, SSH 브루트포스 명령, 셸 명령, 자가 삭제 등), 3) 다른 호스트로 연결, 4) 공격 지속성 확보 위한 장치 마련, 5) CPU 사용량 확인, 6) 루트킷을 /etc/32679로 복사 후 30초에 한 번씩 실행시키기 등을 포함한다고 한다. 해당 디도스는 백지에서 개발된것으로 보인다는 특이점을 갖고 있다.

“iOS, 안전하지 않다…iOS 타깃 공격 급증”

수집 날짜

2020-05-07

원문 링크

http://www.datanet.co.kr/news/articleView.html?idxno=145508

내용 요약

최근 IOS 기기를 타깃으로 한 공격이 급증하고 있다. 카스퍼스키 "2020년 1분기 APT 위협 활동 보고서"에 따르면 중국어를 사용하는 APT 그룹 '투세일 정크(Twosail Junk)'는 홍콩 사용자를 대상으로 원격 IOS 익스플로잇 체인을 사용하는 워터링 홀 공격을 진행했다. 또한 북한 APT '라자루스'는 MacOS를 대상으로 '애플제우스(AppleJeus)'캠페인 공격 중이며 암호화폐 관련 악성코드를 배포하고 있다고 한다. 또한 현재 코로나 이슈를 악용한 여러 APT 공격이 증가하고 있기에 IOS 사용자들도 보안의 주의를 기울여야 한다.

SAP "클라우드 제품서 보안 허점 발견"

수집 날짜

2020-05-07

원문 링크

https://www.zdnet.co.kr/view/?no=20200506115257

내용 요약

글로벌 소프트웨어 기업 SAP가 클라우드 제품군 중 일부에 취약점이 발견되었다. 미국지디넷은 SAP가 지난 4일 자사 클라우드 제품 중 일부가 계약 상 또는 법적 보안 표준을 충족하지 못하고 있으며, 대응 조치를 시작했다는 내용을 담은 성명서를 발표했다고 보도했다. 성명서에는 취약점에 대한 구체적 내용은 나와 있지 않다. 아직 보안 업데이트가 이뤄지지 않았기 때문에 구체적 내용을 밝히면 해커가 취약점을 악용할 수도 있다. 회사는 SAP 석세스 팩터, SAP 컨커, SAP 캘리더스 클라우드 제품군, SAP C4C/세일즈 클라우드, SAP 클라우드 플랫폼, SAP 애널리틱스 클라우드 등 취약점 영향 범주에 포함되는 제품군들에 대해 우선순위를 정하고 문제 해결을 실시하고 있다. 아직 해당 취약점을 악용한 보안사고는 발견되지 않았으며 SAP는 이 취약점에 영향을 받는 제품군에 대한 보안 업데이트를 2분기 내로 완료할 예정이다.

Large scale Snake Ransomware campaign targets healthcare, more

수집 날짜

2020-05-07

원문 링크

https://www.bleepingcomputer.com/news/security/large-scale-snake-ransomware-campaign-targets-healthcare-more/

내용 요약

5/4 유럽 최대 병원 제공업체인 프레세니우스 그룹이 Snake 랜섬웨어 공격을 받았다고한다. Snake 랜섬웨어 운영자 들은 지난 몇일동안 수많은 사업체와 하나의 의료기관을 감염시킨 캠페인을 전세계적으로 진행했다. Snake 랜섬웨어 운영자들은 암호화하기전에 데이터를 훔쳤다고 주장하고 있으며 48시간 이내에 돈을 지불하지 않을경우 해당 DB를 유출하겠다고 협박하고 있는 상황이다. Blaiping Computer는 아직 정확하게 DB를 가지고 있는지 파악되지 않았으나 도난당했다는 가정하에 데이터 침해로 가정하고 대응해야 한다고 권고한다.

새로운 IoT 봇넷 다크넥서스, 모듈 구성이라 강력하고 유연해

수집 날짜

2020-04-13

원문 링크

https://www.boannews.com/media/view.asp?idx=87529&kind=4&sub_kind=

내용 요약

보안 업체 비트디펜더가 새로운 IOT 봇넷 다크넥서스를 발견했다. 이번에 발견된 봇넷은 모듈 방식으로 구성되어 있으며 이전 세대의 봇넷 멀웨어인 큐봇과 미라이의 코드 일부를 그대로 내포하고 있기도 하다. 봇넷의 페이로드는 12가지 유형의  CPU 아키텍처에 따라 컴파일링 되었고, 피해자의 환경설정에 따라 동적 배표가 이뤄진다. 그 외에도 '점수 매기기' 시스템도 갖추고 있어 피해자의 시스템 내에서 어떤 프로세스가 추후 위협이 될수 있는지 평가한 후에 해당 프로세스를 강제로 종료 시키기도 한다. 다크넥서스의 최종목적은 디도스 공격 대행 서비스인것으로 보이며 공격을 위한 악성 트래픽을 브라우저가 생성한 안전한 트래픽으로 위장시킬수도 있다.

줌 크리덴셜, 다크웹에서 거래되기 시작해

수집 날짜

2020-04-13

원문 링크

https://www.boannews.com/media/view.asp?idx=87555&kind=4&sub_kind=

내용 요약

화상 회의 플랫폼인 줌에서 '줌 폭탄(Zoom bombing)'공격이 이어짐에 따라 사용자 기업들이 비밀번호를 설정하는 등 화상회의 세션에 대한 보안을 강화하기 시작했다. 그러자 줌 회의 세션 크리덴셜 시장이 다크웹에서 형성되기 시작했다. 위협 첩보 전문업체 인트사이프(InSights)가 다크웹에서 줌 계정 2300개의 DB 거래를 처음 발견하여 보고서를 발표하기도 했다. 지난 10월 보안 전문가들은 줌과 시스코 웹엑스(WebEx) 화상 회의 어플리케이션에서 비밀번호가 걸려있지 않은 회의를 자동화로 찾는 취약점을 발견하였고 해당 업체들은 패치로 해결을 하였다. 하지만 아직 업그레이드를 하지 않거나 비밀번호를 미설정하는 사용자들도 있어 주의가 요구된다.

코로나19 틈타 "저금리 대출" 사기 극성...'전화 가로채기' 수법

수집 날짜

2020-04-13

원문 링크

https://www.ytn.co.kr/_ln/0103_202004130622457909

내용 요약

코로나 19 사태를 악용하여 생계가 어려워진 사람들에게 보이스피싱, 스미싱등 기승을 부리고 있다. 필수 대출 절차라며 의심없이 애플리케이션 설치를 유도하고 기존에 대출을 문제 삼으며 약정 위반이니 돈을 당장 갚으라고 압박하여 갈취를 한다. 설치된 앱에는 악성코드가 심어져 있고 전화 가로 채기 수법으로 피해자를 혼란스럽게 한다.

안랩, 4·15 총선 노린 악성코드 발견…北 해킹그룹 ‘킴수키’가 만든 듯

수집 날짜

2020-04-13

원문 링크

http://www.donga.com/news/article/all/20200412/100621539/1

내용 요약

보안 업체 안랩은 4/15 국회의원 선거 관련 문서 형태의 악성코드가 유포되고 있다고 12일 밝혔다. 현재 '킴수키' 조직으로 추정되고 있으며 해당 문서를 열게되면 C&C 서버를 통해 악성파일이 다운로드 받아진다. 해당 파일은 정보유출을 목적으로 제작되어 있으며 PC 정보를 수집하여 C&C 서버로 보낸다.

New Wiper Malware impersonates security researchers as prank

수집 날짜

2020-04-13

원문 링크

https://www.bleepingcomputer.com/news/security/new-wiper-malware-impersonates-security-researchers-as-prank/

내용 요약

장난으로 보안 연구자를 가장한 새로운 와이퍼 멀웨어가 발견됐다. 해당 멀웨어는  windows가 시작하기 전에 컴퓨터를 잠근 뒤 유명 보안연구원 2명을 사칭하여 메세지를 띄운다. "SentinelOne Labs Ransomware" 라는 또다른 변종은 'Vitali Kremez'(보안연구원)만을 대상으로 그의 이메일주소와 전화번호를 공개하고 있다. Windows가 시작되기전에 컴퓨터를 잠근 뒤 돈을 요구하는 악성코드는 운영체제가 시작되지 않도록 컴퓨터의 '마스터 부트 레코드'를 대체하고 대신 몸값을 요구하는 메세지를 표시하기 때문에 MBRLockers라고 불린다. 이런 유형의 감염은 페티아와 같은 랜섬웨어 공격에 이용되거나 사람들이 자신의 파일에 접근하는 것을 막기 위한 파괴적인 와이퍼로 이용된다. (와이퍼는 감염된 컴퓨터의 하드 드라이브를 지우려는 의도의 멀웨어 클래스입니다.)

[긴급] 코로나19 키워드로 국내 유입된 영문 악성메일 주의보

수집 날짜

2020-04-09

원문 링크

https://www.boannews.com/media/view.asp?idx=87447

내용 요약

코로나19를 키워드로 다양한 악성메일이 유포되고 있는 가운데, 최근에는 확산방지 가이드라인을 사칭한 영문 악성메일이 발견돼 사용자의 주의가 요구된다. 보안전문업체 이스트시큐리티 시큐리티대응센터(ESRC)는 코로나19(Covid-19) 바이러스 키워드를 활용하여 작성된 악성 이메일들이 국내로 지속적으로 유입되고 있다면서, 특히 코로나 19 바이러스가 워낙 글로벌한 이슈이다 보니 영문으로 작성된 코로나 19 바이러스 관련 이메일도 자주 발견되고 있다고 밝혔다. 첨부파일을 열람할 경우 악성코드가 실행되며, 사용자PC에 백도어를 설치하고 추가 악성코드를 설치하는 등의 악의적인 행위를 수행하므로 코로나19 바이러스 관련 이메일을 수신했을 경우 되도록 열람을 자제해 달라고 ESRC는 권고했다.

경찰청 사칭한 ‘경찰청 초대’ 악성 메일 유포됐다

수집 날짜

2020-04-09

원문 링크

https://www.boannews.com/media/view.asp?idx=87476

내용 요약

최근 경찰청을 사칭한 악성메일이 발견돼 사용자들의 주의가 요구된다. 이스트시큐리티 ESRC(시큐리티대응센터)는 7일 오후부터 경찰청을 사칭하고, 악성파일이 첨부된 악성메일이 발견됐다고 밝혔다. 메일에는 문서.iso 파일이 첨부되어 있으며, 압축파일로 풀어보면 ‘문서.exe’ 파일이 포함되어 있다. 최초 첨부 파일인 ‘문서.exe’은 닷넷 파일로 ‘Remcos’ 페이로드를 인젝션하는 기능을 수행한다. Remcos 악성코드는 명령제어 악성코드로, 명령제어(C&C) 통신 이후 공격자 명령에 따라 △키로깅 △파일 통제(삭제/다운로드/업로드) △프로세스 통제 △레지스트리 통제 △‘cmd.exe’ 실행 및 결과 업로드 △음성 녹음 △화면 녹화 △브라우저 정보 탈취 △시스템 종료 및 재시작과 같은 기능을 수행한다. 파일 다운로드 및 업로드 코드를 살펴보면, 해당 명령에 따라 각각 감염 PC에 추가적으로 악성코드 다운로드 및 드롭과 정보 탈취가 이루어 질 수 있다.

러시아 마트료시카 인형과 닮은 안드로이드 멀웨어 캠페인 발견돼

수집 날짜

2020-04-09

원문 링크

https://www.boannews.com/media/view.asp?idx=87472

내용 요약

삭제가 불가능한 멀웨어인 엑스헬퍼(xHelper)가 발견됐다. 안드로이드 장비들을 감염시키고 있으며, 종국에는 트리아다(Triada)라는 트로이목마를 설치하는 것으로 분석됐다. 엑스헬퍼 페이로드는 사용자의 고유 ID나 생산자, 모델명, 펌웨어 버전 등 핑거프린팅에 관여되는 정보를 수집한다. 이 정보는 원격에 있는 공격자들의 서버로 전송되며, 또 다른 드로퍼가 4번 설치된다.  최종 설치되는 트리아다는 여러 가지 익스플로잇을 실행해 루트 권한을 가져가는 기능을 가지고 있다. 카스퍼스키는 안드로이드 6과 7을 기반으로 한 중국 제품들이 특히 취약하다고 경고했다. 공격자는 루트 권한 획득 후 안드로이드 시스템 부팅 시 시스템 파티션이 읽기 전용 모드로 마운팅 되는 걸 변경할 수 있다고 한다. 공격 지속성을 확보한 이후 트리아다는 추가 악성 프로그램을 다운로드 받아 설치한다. 현재까지는 슈퍼유저용 명령을 실행하는 백도어들이 주로 설치되고 있다.  공장 초기화 해도 삭제되지 않아, 장비 리플래시를 하든가 펌웨어를 다른 것으로 대체해야 한다.

파이어아이,‘취약점 관리를 위한 인텔리전스 리포트’ 발표

수집 날짜

2020-04-09

원문 링크

http://www.denews.co.kr/news/articleView.html?idxno=12719

내용 요약

파이어아이가 ‘취약점 관리를 위한 인텔리전스 리포트’를 발표했다. 파이어아이 맨디언트 위협 인텔리전스(Mandiant Threat Intelligence) 팀에 따르면 제로데이 공격은 2019년 크게 증가했다. 지난 한 해 발견된 제로데이 공격 수가 지난 3년간 일어난 공격을 모두 더한 수를 넘어섰을 정도다. 또한 제로데이 취약점을 이용하는 공격 그룹의 유형도 이전보다 확대됐다. 구매한 사이버 공격 도구와 서비스를 이용해 제로데이 취약점을 노리고 공격한 사례는 2017년 말부터 크게 증가했다. 지역적 측면에서는 중동지역을 표적으로 한 제로데이 공격 사례가 증가했으며, 해당 지역과 연관성이 있는 공격그룹에 의한 것으로 관찰됐다.

New IoT botnet launches stealthy DDoS attacks, spreads malware

수집 날짜

2020-04-09

원문 링크

https://www.bleepingcomputer.com/news/security/new-iot-botnet-launches-stealthy-ddos-attacks-spreads-malware/

내용 요약

새로운 IoT 봇넷 은밀한 DDoS 공격 실행, 악성 프로그램 배포

새로운 봇넷은 12개의 CPU 아키텍처를 위해 컴파일된 페이로드(payload)를 이용해 IoT 기기를 적극적으로 공략해 여러 종류의 디도스(DDoS)를 출시하고 다양한 종류의 악성 프로그램을 확산시키고 있다. 다크 넥서스 봇넷은 비트디펜더 연구자들에 의해 이름이 붙여진 것으로, 처음 발견된 이후 매우 빠른 개발 과정을 거쳤다는 것을 발견했다. 비트디펜더의 보고서에 따라 2019년 12월부터 2020년 3월 사이에 새로운 기능과 개선점을 포함한 약 40가지 버전(버전 4.0부터 8.6까지)이 출시되었다. 봇 바이너리에서 발견된 문자열과 봇 바이너리의 이름에 근거하여, 맬웨어는 그리스로 추정된다.