Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향[2019년 9월 18일] 주요 보안 이슈
작성일 2019-09-18 조회 161

1. [기사] 미국의 북한 관련 단체들 공격하기 시작한 북한의 킴수키 그룹
[https://www.boannews.com/media/view.asp?idx=83004&page=2&kind=1]
가을 조리개(Autumn Aperture)라는 이름이 붙은 고급 공격 캠페인이 발견됐으며, 북한의 킴수키(Kimsuky)라는 해킹 단체가 배후에 있는 것으로 보인다. 공격 대상은 미국의 단체들로, 북한의 핵무기 개발과 핵 잠수함 프로그램, 북한 경제 제재와 관련이 있는 곳들이다. 해당 캠페인은 고도로 표적화된 피싱 공격이 주를 이룬다. 또한, 여러 가지 추적 및 탐지 방해 전략을 사용하고 있으며, 모호한 파일 확장자를 이름에 사용하면서(코닥 플래시픽스(Kodak FlashPix) 포맷이 발견되기도 함) 백신의 탐지를 피해간다. 이 캠페인을 처음 발견한 보안 업체 프리베일리온(Prevailion)은 아직 표적이 되는 단체와 공격에 사용되는 악성코드의 이름을 구체적으로 공개하지 않고 있으며, 이번 캠페인과 연루된 페이로드를 발견하지 못했다고 말했다. 악성 문서는 피해 조직들이 자연스럽게 열어볼 만한 것들이었고, 이메일 자체도 정교하게 만들어졌다. 또한, 공격자들은 탐지되는 것을 피하고자 WMI를 통해 현재 돌아가고 있는 프로세스를 목록화하고, 이를 블랙리스트 처리된는 백신 프로세스와 비교하면서 점검한다.


2. [기사] Fraudulent purchases of digitals certificates through executive impersonation
[https://securityaffairs.co/wordpress/91369/cyber-crime/digital-certificates-executive-impersonation.html]
ReversingLabs의 연구원들은 회사 임원을 사칭하여 디지털 인증서를 구입하고 암시장에서 판매하는 것을 발견했으며, 디지털 인증서가 주로 애드웨어 악성코드를 퍼뜨리는 데 사용된다는 것을 발견했다. 즉, 공격자는 탐지를 피하고자 합법적인 디지털 인증서로 자신의 악성코드에 서명했다. 연구원들은 위협 행위자가 구매한 인증서를 사이버 범죄 조직에 팔아 악성 코드를 유포하는 데 사용했다는 증거를 발견했으며, 공격자가 공개적으로 사용 가능한 정보를 이용하여 소프트웨어 업계에서 일하는 일반적으로 잘 알려진 사람들을 선택한다고 말했다. 4월 30일에 처음으로 서명된 악성코드가 나타났으며, 해당 인증서는 클라이언트 시스템에 원치 않는 소프트웨어를 설치할 수 있는 애드웨어 응용 프로그램인 OpenSUpdater에 서명하는 데 사용된다. 그리고 해당 실행 파일은 Symantec Time Stamping Services Signer 서비스를 통한 타임 스탬프 확인을 위해 크로스 사인된다.


3. [기사] Skidmap malware buries into the kernel to hide illicit cryptocurrency mining
[https://www.zdnet.com/article/skidmap-malware-buries-into-the-kernel-to-hide-cryptocurrency-mining/]
연구원들이 발견한 악성코드는  루트킷을 사용하여 암호화폐 마이닝을 위해 Linux 시스템에서 탐지되지 않은 상태로 존재한다. Trend Micro의 위협 분석가인 Augusto Remillano와 Jakub Urbanec는 지난달 Skidmap이라고 불리는 리눅스 악성 코드에 감염된 시스템에서 공격자들에게 머신의 리소스에 대한 무제한 액세스를 제공하도록 설계된 커널 모드 루트킷을 탑재하고 있다고 밝혔다. 취약한 Linux 시스템이 소싱되면, Skidmap은 시간 기반 작업 스케줄러인 crontab을 통해 스스로 설치된다. 설치 스크립트는 트로이 목마 페이로드를 다운로드하여 SELinux(Security-Enhanced Linux) 모듈을 허용 상태로 전환하여 시스템의 전체 보안 수준을 줄인다. 그리고 시스템에 /etc/selinux/config 파일이 존재하면 정책을 비활성(또는 로드하지 못하도록)하는 명령과 선택된 프로세스가 제한된 도메인에서 실행되도록 하는 명령을 파일에 기록한다. 또한, 해당 악성코드의 가장 흥미로운 기능 중 하나는 커널을 처리하는 것이며, CPU 사용량이 항상 낮게 표시되도록 트래픽 정보를 위조한다.그리고 해당 악성코드에는 암호 화폐 마이닝 프로세스를 모니터링하고 특정 파일을 숨기며 다른 악성 파일을 실행하기위한 악성 크론 작업을 설정할 수있는 모듈이 장착되어 있다.


4. [기사] TFlower Ransomware - The Latest Attack Targeting Businesses
[https://www.bleepingcomputer.com/news/security/tflower-ransomware-the-latest-attack-targeting-businesses/]
기업 환경을 겨냥한 최신 랜섬웨어 TFlower는 공격자가 해킹하는 노출된 원격 데스크톱 서비스를 통해 기업 네트워크에 설치되고 있다. 공격자가 기계에 접근하게 되면, 로컬 기계를 감염시키거나 PowerShell Empire, PSExec 등과 같은 도구를 통해 네트워크를 횡단 할 수 있다. 해당 랜섬웨어가 실행되면 컴퓨터를 암호화하는 동안 랜섬웨어가 수행하는 활동을 보여주는 콘솔을 디스플레이하고, 컴퓨터 암호화 시작 상태를 확인하기 위해 명령 및 제어 서버에 다시 연결한다. 그리고 섀도우 볼륨 복사본을 지우고 Windows 10 복구 환경을 비활성화하는 명령을 실행한다. 또한 데이터 파일을 암호화하기 위해 열 수 있도록 Outlook.exe 프로세스를 찾아서 종료한다. 파일을 암호화할 때 확장자가 추가되지 않지만 * tflower 마커와 파일의 암호화 된 암호화 키가 파일 내부에 나타난다. '!_Notice_!.txt'는 컴퓨터 전체와 Windows 바탕 화면에 배치되며, 해당 랜섬노트는는 피해자들에게 지불 지침을 위해 flower.harris@protonmail.com 또는 flower.harris@tutanota.com 이메일 주소로 연락하도록 지시한다. 현재 몸값 액수가 얼마인지는 알려지지 않았다.


5. [기사] Experts found 125 new flaws in SOHO routers and NAS devices from multiple vendors
[https://securityaffairs.co/wordpress/91375/iot/soho-sohopelessly-broken-2.html]
연구원들은 12개 이상의 SOHO (Small Office / Home Office) 라우터 및 NAS (Network-Attached Storage) 장치에서 125개의 결함을 발견했다. 연구원들은 장치 제조업체가 시행한 보안 제어가 원격 공격자가 수행하는 공격에 대해 불충분하다는 것을 보여주며, 해당 연구 프로젝트는 임베디드 장치에서 이러한 새로운 보안 제어를 우회하기 위해 새로운 기술을 발견하고 활용하는 것을 목표로 했다고 말했다. 그리고 전문가들은 원격 공격자가 장치의 셸에 원격으로 액세스하거나 장치의 관리 패널에 액세스하기 위해 악용할 수 있는 취약점을 테스트 한 각 장치에서 하나 이상의 웹 응용 프로그램 문제를 발견했으며, 취약한 시스템을 인수할 수 있는 12개의 장치에서 루트 쉘을 획득했으며 인증 없이 6개의 결함을 원격으로 악용 할 수 있다. 연구원이 발견한 결함 목록에는 Authorization Bypass, Authentication Bypass, Buffer Overflow, Command Injection, SQL injection(SQLi), Cross-Site Scripting(XSS), Cross-Site Request Forgery(CSRF), 그리고 파일 업로드 경로 통과 취약점이 포함된다.

첨부파일 첨부파일이 없습니다.
태그 Kimsuky  Skidmap  TFlower  SOHO  NAS