Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향[2019년 9월 17일] 주요 보안 이슈
작성일 2019-09-17 조회 168

1. [기사] 유튜브와 페이스북 사용해 눈속임하는 피싱 캠페인, 아스타로스
[https://www.boannews.com/media/view.asp?idx=82975&page=1&kind=1]
페이스북과 유튜브를 활용하는 전략을 구사하고 있는 아스타로스(Astaroth) 트로이목마를 퍼트리는 피싱 캠페인이 한창 진행 중이다. 코펜스의 보안 전문가 아론 라일리(Aaron Riley)에 의하면 공격자들은 먼저 이메일(인보이스, 공연 티켓, 법정 소송)에 .HTM 파일을 첨부하는 것으로부터 공격을 시작한다고 말했다. 피해자가 첨부 파일을 클릭하면 HTM 파일을 통해 .ZIP 파일이 다운로드된다. 여기에는 악성 .LNK 파일이 첨부되어 있으며, 해당 .LNK 파일은 클라우드플레어(Cloudflare)의 도메인에서부터 자바스크립트 코드를 다운로드받는다. ExtExport.exe라는 정상 프로그램을 사용해 두 부분으로 구성된 악성 코드를 실행하고, 이후에는 ‘프로세스 할로윙(process hollowing)’이라는 기술을 통해 정상 프로그램을 감염시킨다. 정상 프로세스가 종료되면, 악성 코드가 삽입된 프로세스로 대체하면서부터 아스타로스가 유튜브와 페이스북을 활용하여 C2 채널과 연결을 시도한다. 해당 C2 데이터는 페이스북의 게시글이나 유튜브 프로파일 정보에 저장되어 있으며, 유튜브나 페이스북 모두 신뢰를 받는 서비스이기 때문에 보안 장치들을 쉽게 피해갈 수 있다.


2. [기사] Emotet Revived with Large Spam Campaigns Around the World
[https://www.bleepingcomputer.com/news/security/emotet-revived-with-large-spam-campaigns-around-the-world/]
16일 아침 독일, 영국, 폴란드 및 이탈리아를 대상으로 하는 Emotet의 서명이 포함 된 악성 이메일이 발견되었으며, 해당 스팸 캠페인은 미국을 강타하여 개인, 사업체 및 정부 기관을 대상으로 한다. 연구원들은 6월 초 Emotet의 C2 서버가 조용하고, 감염된 기계에 명령을 보내지 않는 것을 발견하였으며, 이런 비활동은 인프라가 다시 깨어나기 시작하고 서버가 요청에 응답하기 시작한 8월 22일까지 계속되었다. 이후 악성코드 운영자들이 가짜 봇의 청소와 새로운 캠페인, 유통채널(손상된 웹사이트, 해킹 사이트, 웹 쉘 설치)을 구축해 봇넷 활동을 재개하는데 필요한 준비를 한 것으로 보인다. Emotet의 유포는 대부분 재정적인 주제를 가지고 있는 이메일에 의존하며, 이전의 대화에 대한 답장으로 추측할 수 있다. 또한, 메일에는 금융과 관련된 Word 문서를 포함하고 있다. 한 전자 메일에는 악의적인 매크로 코드가 포함된 Word 문서가 들어 있었는데, 매크로 기능은 기본적으로 Microsoft의 Office 제품군에서 사용하지 않도록 설정되어 있다. 그래서 해당 악성 문서에는 잠재적인 피해자에게 매크로 콘텐츠가 Microsoft 사용권 계약에 동의 할 수 있도록 하는 메시지가 있다. 


3. [기사] 류크 랜섬웨어와 닮은 새 멀웨어 등장! 둘 다 안랩 백신부터 확인
[https://www.boannews.com/media/view.asp?idx=82973&page=1&kind=1]
류크(Ryuk) 랜섬웨어와 매우 유사한 악성코드가 새롭게 등장했으며, 해당 멀웨어는 군사, 금융, 사법 기관의 정보를 빼내려는 공격 캠페인에서 활용되고 있다가 발각됐다. 해당 악성코드는 류크와 닮았지만 파일을 암호화하고 돈을 요구하는 게 아니라, 민감한 파일을 검색하고 훔쳐낸 뒤, 공격자가 운영하는 사이트에 업로드하는 특징을 가지고 있다. 아직 어떤 방식으로 최초 침투에 성공하는지는 밝혀지지 않고 있으나 감염에 성공한 이후에는 워드 및 엑셀 파일을 검색하고, 특정 문자열들을 대입해 시스템을 스캔한다. 검색에 사용하는 문자열은 ‘군사(military)’, ‘기밀(classified)’, ‘금융(finance)’, ‘국제 은행간 통신 네트워크(SWIFT)’, ‘보고서(report)’, ‘비밀(secret)’, ‘확인 중(checking)’, ‘저장(saving)’, ‘라우팅(routing)’ 등으로 총 77개이다. 이 중 검색해서 찾아낸 문자열은 공격자에게 전송된다. 또한, 이번에 발견된 악성코드와 류크 모두 .RYK와 RyukReadMe.txt를 사용하고, 안랩 제품 유무를 확인하다. 그리고 UNIQUE_ID_DO_NOT_REMOVE라는 문자열도 공통으로 존재하며, 파일 검색 도구나 확장자 기반 정찰 로직도 두 멀웨어 모두 비슷하다.


4. [기사] MobiHok RAT, a new Android malware based on old SpyNote RAT
[https://securityaffairs.co/wordpress/91358/malware/mobihok-android-rat.html]
MobiHok RAT로 추적되는 새로운 Android 악성코드가 나타났으며, 해당 악성코드는 오래된 SpyNote RAT에서 코드를 빌렸다. 2019년 7월 초, 전문가들은 유명한 영국 해킹 포럼에서 MobiHok v4라는 Android Remote Administration Tool(RAT)을 판매하고 있는 mobeebom을 발견했다. 전문가들은 mobeebom이 아랍어를 사용하는 사람이라는 것을 암시하는 상황으로 아랍어를 사용하는 여러 해킹 포럼에서 서로 다른 가명으로 활동하고 있다는 것을 발견했으며, 게재한 글들이 형편없는 영어를 사용하고 있다는 것을 확인했다. MobiHok은 Visual Basic .NET 및 Android Studio로 작성되었다. 그리고 감염된 장치를 완전히 제어 할 수 있으며, 파일 액세스, 카메라 액세스, 키 로깅, SMS 및 연락처 제어, Samsung 보안 메커니즘 및 Google Play 메커니즘을 우회하는 기능 및 다른 APK 앱에 바인딩하는 등 여러 기능을 지원한다. 또한, 최신 RAT 릴리스가 Facebook 인증 메커니즘을 우회하는 등 새로운 기능을 구현한다고 지적했다.  


5. [기사] PHP 다수 취약점 보안 패치 발표…최신 버전으로 업데이트해야
[https://www.dailysecu.com/news/articleView.html?idxno=69854]
PHP 그룹은 다수의 보안 취약점을 해결한 보안 업데이트를 최근 발표했다. 취약점에 영향을 받는 제품은 PHP 7.1 ~ 7.1.32 이전 버전 PHP 7.2 ~ 7.2.22 이전 버전 PHP 7.3 ~ 7.3.9 이전 버전 등이며, 패치된 취약점 내용은 다음과 같다.
1) PHP의 특정 함수의 입력값 검증 미흡으로 정보노출 및 use-after-free 취약점 발생 (CVE-2019-13224)
2) PHP의 특정 함수에서 파일 검증 미흡으로 발생하는 정보 노출 취약점 (CVE-2019-11040 외 다중 취약점)
3) PHP의 특정 함수에서 MIME 헤더를 파싱 시 오버플로우 발생으로 정보 노출 가능 취약점 (CVE-2019-11039)
4) PHP의 특정 함수를 통해 메모리에 저장된 값을 읽고 쓰기가 가능한 취약점 (CVE-2019-9025)
5) PHP의 특정 함수에서 입력값 검증이 미흡하여 임의의 메모리 주소에 접근 가능한 취약점 (CVE-2019-9020)

첨부파일 첨부파일이 없습니다.
태그 Astaroth  Emotet  Ryuk  MobiHok  PHP