Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향[2019년 3월 14일] 주요 보안 이슈
작성일 2019-03-14 조회 84

1. [기사] [긴급] 한국은행 사칭 갠드크랩 랜섬웨어 또 다시 유포
[https://www.boannews.com/media/view.asp?idx=77802&page=1&kind=1]
한국은행을 사칭한 갠드크랩 랜섬웨어 이메일 공격이 또다시 발견되었다. 이번 공격은 전과 마찬가지로 어눌한 한국어 사용과 함께 띄어쓰기가 제대로 되어있지 않다. 게다가 한국은행은 개인 거래가 되지 않음에도 불구하고, 메일 내용에는 온라인 뱅킹 문제로 계좌가 정지됐다는 내용을 담고 있어 공격자들이 한국 사정에 어두운 것으로 추정된다. 또한, 이메일에 첨부된 ‘한국 중앙은행의 통보.zip’ 파일은 기존에 유통되던 갠드크랩 랜섬웨어로 확인되었다. 이번 공격에서 공격자들이 ‘단체 메일’ 설정을 하지 않아 50개의 수신자 이메일이 고스란히 노출되었으며 이들간의 공통점은 없는 것으로 알려졌다. 보안전문가들은 “이렇게 허술한 공격이라고 해도 첨부파일을 열어 갠드크랩 랜섬웨어에 감염되는 피해자들은 생기게 마련”이라며 이메일의 내용에 유의하고 첨부파일은 함부로 열어보지 말라고 당부했다.

 

2. [기사] New Android App Malware Infects 250 Million Downloads
[https://www.forbes.com/sites/daveywinder/2019/03/13/new-android-app-malware-infects-250-million-downloads-heres-what-you-need-to-know/#4022b28b60fd]
보안 기업 체크포인트(Check Point)가 안드로이드 어플리케이션들을 감염시키는 2개의 대규모 멀웨어를 발견했다고 발표했다. 첫 번째 멀웨어는 사용자의 브라우저에 광고나 피싱 페이지를 띄우는 SimBad로, 구글 플레이 스토어에 등록된 어플 210개가 감염되었으며 주로 시뮬레이션 게임인 것으로 알려졌다. 체크포인트는 문제를 알아차린 구글이 해당 어플들을 삭제하기 전까지 대략 150만 건 정도의 다운로드가 있었다고 밝혔다. 두번째 멀웨어는 사용자 몰래 연락처 정보를 탈취하는 Operation Sheep이다. 감염된 어플은 12개뿐이나 중국의 주요 앱스토어들에서 계속해서 서비스되고 있고 대략 111만 번 정도의 다운로드가 있었던 것으로 알려졌다. 체크포인트는 관련 내용을 블로그(https://research.checkpoint.com/)를 통해 공개하며 어플리케이션 다운로드는 가급적 공식 앱 스토어를 이용하고 설치 전에 어플의 등급과 댓글을 꼭 확인할 것을 권고했다.

 

3. [기사] Point of sale malware campaign targets hospitality and entertainment businesses
[https://www.zdnet.com/article/point-of-sale-malware-campaign-targets-hospitality-and-entertainment-businesses/]
보안 기업 Flashpoint가 레스토랑이나 영화관 등을 이용하는 고객의 신용 카드 정보를 도용하려는 POS(point-of-sale) 악성코드인 DMSniff를 발견했다고 발표했다. 해당 악성코드는 약 2016년부터 활동했으며 카드 거래가 많은 외식 또는 문화산업 분야의 소규모 업체들을 주요 공격 목표로 삼고 있다. 연구원들은 공격자들이 웹상에 공개된 POS 기기들의 취약점을 찾고 허술한 암호를 뚫기 위한 무차별 대입 공격 등을 시도하거나 물리적인 장치 조작을 통해 악성코드를 심은 것으로 추정했다. 또한 DMSniff가 도메인 생성 알고리즘(DGA)을 이용하여 C&C 서버와 통신할 도메인을 즉석에서 만들어내고, 이를 통해 관련 도메인이 차단되더라도 공격자들이 계속해서 감염된 POS 장치와 통신하며 데이터를 탈취할 수 있도록 설계되었다고 설명했다. 연구원들은 DMSniff가 이렇게 광범위하게 사용된 것은 처음이라며, 관련 업체들이 POS 시스템을 정기적으로 업데이트해 앞으로 이어질 공격에 대비해야 한다고 덧붙였다.

 

4. [기사] Malicious Counter-Strike 1.6 servers used zero-days to infect users with malware
[https://www.zdnet.com/article/malicious-counter-strike-1-6-servers-used-zero-days-to-infect-users-with-malware/]
온라인 FPS 게임 카운터 스트라이크 버전 1.6의 멀티 플레이어 서버 네트워크에서 원격 코드 실행 취약점을 악용하는 Belonard라는 새로운 악성코드가 발견되었다. 러시아 보안 기업 Dr.Web은 Ping 값이 낮은 유저들을 연결하던 프록시 멀티 플레이어 서버가 공격에 이용되었다고 밝혔다. 유저들이 해당 프록시 서버들에 연결을 시도하면, Belonard 멀웨어를 심는 공격자들의 서버로 자동으로 리다이렉트된다는 것이다. PC가 해당 멀웨어에 감염되면 사용자의 닉네임이 감염된 게임 클라이언트를 다운로드할 수 있는 웹사이트 주소로 변경되고, 게임 속에 광고가 뜨는 것으로 알려졌다. 공격자들은 여기서 멈추지 않고 감염된 PC에서 프록시 서버를 생성, 이를 게임의 서버 리스트에 등록하는 방식으로 새로운 악성 서버를 계속해서 만들어내는 것으로 밝혀졌다. Dr.Web은 악성 프록시 서버들은 서버 이름이 "Counter-Strike 1.6"이 아니라 "Counter-Strike         1", "Counter-Strike         2" 같은 모양새를 가져 쉽게 구분할 수 있다며 유저들의 주의가 필요하다고 당부했다.

 

5. [기사] "北, 한국·일본 암호화폐거래소 해킹해 5억달러 훔쳐"
[http://www.edaily.co.kr/news/Read?newsId=03837606622421352&mediaCodeNo=257&fbclid=IwAR1WE-gDVqo082u16XQrgbRRVrPQvFlljExt9Z9oGWZUnWdhh2imufJypWM]
북한이 한국과 일본 등의 암호화폐 거래소를 공격해 최소 5억 달러를 훔쳤다고 니혼게이자이 신문이 보도했다. 경제 제재로 정상적인 외화벌이가 어려워지자, 추적이 어렵고 보안 시스템이 비교적 취약한 암호화폐를 표적으로 하는 사이버 공격을 시도하고 있다는 것이다. 해당 언론은 자신들이 단독으로 입수한 안보리 회의 보고서에 관련 내용이 언급되었다고 밝혔다. 보고서에 따르면 북한은 2017년 1월부터 2018년 9월 사이 한국, 일본 등 아시아 국가 암호화폐 거래소에 대한 사이버 공격을 최소 5회 이상 성공했다. 이에 따른 피해액은 5억 7100만 달러다. 첨부한 자료에 따르면 2018년 1월 일본 암호화폐 거래소 ‘코인체크’ 해킹 사건도 북한이 저지른 것으로 밝혀졌다. 이 사건으로 약 26만 명이 총 580억 엔 상당의 암호화폐를 도난당했다. 보고서는 북한의 해킹이나 블록체인 기술이 진화하고 있다며 추후 대북 제재를 강화할 경우 이 같은 실태를 고려하도록 권고했다. 또 북한 사이버 공격에 대한 각국의 정보교환을 강화할 필요가 있다고 밝혔다.

첨부파일 첨부파일이 없습니다.
태그 SimBad  Operation Sheep  DMSniff  Belonard