Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향[2018년 5월 24일] 주요 보안 이슈
작성일 2018-05-24 조회 1052

1. [기사] BMW 차량 다수에서 치명적인 취약점 발견
[http://www.boannews.com/media/view.asp?idx=69679&page=1&mkind=1&kind=1]
중국 대기업 Tencent의 보안연구팀 킨 시큐리티 랩(Keen Security Lab)은 현재 판매되고 있는 BMW 차량들에서 10개가 넘는 보안 취약점을 발견했습니다. 일부는 원격 익스플로잇도 가능한 것이라고 합니다. 킨 시큐리티 랩은 2017년 1월부터 연구를 실시해 13개월 동안 14개의 취약점들을 발견했으며, 이 중 7개는 CVE에 등록되었습니다. 이러한 결과물을 집약해 보고서를 발표했으나, 기술적인 세부 내용은 담지 않았습니다. BMW 차량 소유자들에게 가해질 잠재적인 피해를 막기 위해서입니다. 하지만 BMW 측이 모든 패치를 완료할 2019년 초에는 모든 내용을 빠짐없이 공개할 예정입니다. 14가지 중 8개는 인포테인먼트 시스템에서, 4개는 TCU에서, 2개는 중앙 게이트웨이 모듈에서 발견됐습니다. 일부 보안 구멍들은 임의 코드 실행을 가능하게 해주고, 일부 취약점들은 감염한 장비들을 온전히 통제할 수 있도록 해줍니다. 이러한 취약점을 익스플로잇하면 공격자는 임의의 메시지를 다른 유닛으로 전달할 수 있으며, 이 유닛들 중에는 자동차의 전기 시스템을 제어하는 장치도 있어 큰 문제를 야기할 수 있게 됩니다. 또한, 블루투스를 이용한 단거리 공격과 셀룰라 네트워크를 이용한 장거리 공격이 가능한 취약점도 있어 차량이 운행 중에 있어도 공격이 가능합니다.

 

2. [기사] Sigrun 랜섬웨어 국내 유포중...시스템 복원점 삭제해 복구 불가능
[http://www.dailysecu.com/?mod=news&act=articleView&idxno=34565]
올해 5월 중순 해외에서 유포가 시작된 Sigrun 랜섬웨어(v1.0)가 5월 20일부터 국내에서도 유포되는 것을 확인했습니다. 현재 정확한 감염 방식은 알려지지 않았지만 일반적 방식인 메일 첨부 파일 또는 취약점을 통해 유포되고 있는 것으로 보입니다. 체크멀 분석에 따르면, Sigrun 랜섬웨어가 실행될 경우 윈도우 운영 체제 관련 폴더 및 일부 특정 폴더를 제외한 폴더에 존재하는 모든 파일을 암호화시킵니다. 정상적으로 암호화가 이루어진 파일은 .sigrun 확장명이 추가되고 결제 안내 파일이 생성됩니다. 또한 사용자가 파일을 복구하는 것을 막기 위해 시스템 복원점을 삭제하며 파일 암호화 완료 시점에 랜섬웨어 악성 파일을 자동 삭제해 흔적을 제거합니다. 해당 랜섬웨어는 키보드 언어 값이 러시아 등 특정 언어 사용 환경에서 랜섬웨어 악성 파일이 자동 삭제되어 감염이 발생하지 않도록 제작되어 있는 것이 특징입니다. 체크멀 관계자는 "Sigrun 랜섬웨어에 감염되지 않도록 윈도우 운영 체제, Internet Explorer 웹 브라우저, Adobe Flash Player와 같은 소프트웨어는 업데이트를 통해 최신으로 유지하고 메일 첨부 파일 및 링크를 통해 다운로드되는 파일을 함부로 실행하지 않도록 주의하시기 바란다”고 당부했습니다.

 

3. [기사] 'VPNFilter' IoT 봇넷 멀웨어, 네트워킹 장치를 대상으로 해
[https://thehackernews.com/2018/05/vpnfilter-router-hacking.html]
전 세계 50만 개 이상의 라우터와 저장 장치가 VPNFilter라고 불리는 IoT(Internet-of-Things) 봇넷 멀웨어에 감염되었습니다. 감염된 기기는 대부분은 Linksys, MikroTik, NETGEAR, TP-Link의 홈 오피스 라우터 및 인터넷 연결 저장 장치입니다. VPNFilter는 웹사이트 자격 증명을 훔칠 수 있고 전기 그리드, 기타 인프라, 공장에서 사용되는 것과 같은 산업 제어 또는 SCADA 시스템을 모니터링할 수 있는 다단계 모듈식 멀웨어입니다. 해당 악성코드는 Tor 네트워크를 통해 통신하며, 악성코드가 고의적으로 자기 자신을 죽이는 라우터 용 킬스위치를 포함합니다. IoT 장치를 대상으로 하는 대부분의 다른 멀웨어와 달리 VPNFilter의 첫 번째 단계는 재부팅을 통해 계속 유지되어 감염된 장치에 지속적인 기반을 확보하고, 두 번째 단계에서 멀웨어의 배포를 가능하게 합니다. Talos의 William Largent 연구원은 "멀웨어는 감염된 장치를 사용할 수 없도록 만들 수 있는 파괴적인 기능을 가지고 있으며, 피해자 개인 컴퓨터 또는 대량으로 트리거될 수 있습니다. 또한, 세계적으로 수십만 명의 희생자가 인터넷에 접속하지 못하게 할 가능성이 있습니다"라고 말했습니다.

 

4. [기사] 해킹된 원격 데스크톱 서비스를 이용하여 설치된 CryptoOn 랜섬웨어
[https://www.bleepingcomputer.com/news/security/crypton-ransomware-installed-using-hacked-remote-desktop-services/]
공격자가 인터넷에 액세스할 수 있는 원격 데스크톱 서비스를 사용하여 컴퓨터를 해킹하여 설치하는 CryptON 랜섬웨어 캠페인이 진행 중입니다. 공격자가 컴퓨터에 액세스하면 수동으로 랜섬웨어를 실행하고 파일을 암호화합니다. 설치가 완료되면 CryptON 랜섬웨어는 피해자의 파일을 암호화하고 .ransomed@india.com 확장자를 암호화된 파일 이름에 추가합니다. 즉, 1.jpg라는 파일이 암호화되어 1.jpg.ransomed@india.com으로 이름이 변경됩니다. 파일이 암호화된 각 폴더에는 HOWTODECRYPTFILES.html이라는 이름의 랜섬 노트가 생성되며, TOR 지원 사이트에 연결하는 방법에 대한 지침이 들어있습니다. 불행히도 현재로서는 CryptON 랜섬웨어 변종에 의해 암호화된 파일을 무료로 해독할 수 있는 방법이 없습니다. CryptON 랜섬웨어 감염에 대응하기 위해서는 좋은 컴퓨팅 습관과 보안 소프트웨어를 사용하는 것이 중요하며, 비상 사태의 경우를 위해 데이터 백업을 해놓는 것이 좋습니다. 또한, 이 랜섬웨어는 해킹된 원격 데스크톱 서비스를 통해 설치되므로 해당 서비스가 제대로 잠겨있는지 확인하는 것이 매우 중요합니다.

 

5. [기사] 北 김수키 조직, 북미 정상회담 앞두고 정보수집에 만전?
[http://www.boannews.com/media/view.asp?idx=69672&mkind=1&kind=1]
북한 추정 사이버 공격이 또 다시 포착됐습니다. 북미 정상회담을 앞두고 ‘통일을 지향하는 평화체제 구축’이란 내용으로 2018년 5월 21일 오전 제작된 한글 악성 파일이 발견돼 주목되고 있습니다. 이번에 유포된 악성 파일은 정보 수집 파일로 분석됐으며, 북한 관련 단체나 북한 전문가 등을 타깃으로 이메일을 통해 유포되고 있습니다. 이와 관련 한 보안전문가는 “공격자는 동일한 쉘코드와 암호화 알고리즘을 사용했고, 구글 드라이브를 명령 제어 서버로 활용한다”며 “동일한 계정을 사용한 정황도 포착됐다. 공격자의 서버에 숨겨져 있는 암호화된 파일을 복호화해 분석하는 중으로 공격자 의도를 파악 중”이라고 밝혔습니다. 공격 배후로는 북한 추정 김수키 조직이 지목되고 있습니다. 특히, 한미 정상회담을 앞두고 악성 파일이 발견돼 관련 정보 수집에 심혈을 기울이고 있는 것으로 추정됩니다. 이와 함께 탈북자나 북한 관련 전문가 및 단체를 타깃으로 한 정보 탈취 공격에도 촉각을 곤두세워야 하는 상황입니다.

첨부파일 첨부파일이 없습니다.
태그 Sigrun ransomware  VPNFilter  Botnet  CryptoOn ransomware  김수키 조직