Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향[2019년 10월 7일] 주요 보안 이슈
작성일 2019-10-07 조회 92

1. [기사] 암호화폐 거래소 ‘업비트’ 직원 사칭 해킹 메일 유포
[https://www.boannews.com/media/view.asp?idx=83608&page=1&kind=1]
빗썸과 함께 국내 최대 규모의 암호화폐 거래소인 업비트의 직원을 사칭한 해킹 메일이 유포됨에 따라 업비트 거래 고객들은 주의가 요구되고 있다. 보안전문가에 따르면 업비트 OOO 팀장을 사칭한 해커가 '고객 입출금 관련 지연 문제에 대해 내부 회의 결과, 직원 전용 업비트 지갑을 개인 지갑과 연동해서 별도의 승인 절차나 검토 과정 없이 출금이 가능하게 해준다'는 내용을 미끼로 해서 악성 파일 다운로드를 유도하고 있다. 특히, 해당 메일은 ‘이 여사’라는 고객을 특정하면서 사전에 불편해했던 입출금 관련 지연 문제의 경우 내부 회의를 거쳐 직원 전용 업비트 지갑을 고객 개인 지갑과 연동했다는 말로 메일 수신자의 신뢰를 얻으려 하고 있다. 그리고 '보안상 관계로 다운로드 방식은 FTP 연결방식으로 보낸다'는 말로 악성 링크의 다운로드를 유도하고 있다. 해당 해킹 메일이 ‘이 여사’라는 특정 고객에게 실제 발송됐는지, 고객이 실제 메일을 받고 악성 링크를 다운로드받았는지는 확인되지 않은 상태이지만, 업비트 직원을 사칭해 특정 고객을 타깃으로 유포됐다면 실제 피해가 발생했을 가능성이 높다는 지적이다.


2. [기사] 4일, 日 극우단체의 청와대 디도스 공격…결국 실패…자신들은 공격 성공으로 착각
[https://www.dailysecu.com/news/articleView.html?idxno=72606]
3일 더불어민주당 홈페이지 접속 장애를 발생시킨 디도스 공격(DDoS. 분산서비스거부공격)이 일본 극우 세력들이 다크웹에서 모여 사전모의 후 진행한 것으로 추정되고 있으며, 공격자들은 4일 한국의 청와대 홈페이지에도 디도스 공격을 실행한 것으로 보인다. 실제로 오늘(4일) 다크웹 일본 커뮤니티 사무라이 멤버들은 청와대 홈페이지를 공격했으며, 일본에서 청와대 홈페이지가 다운된 것을 확인한 것이다. 하지만 정작 한국에서 청와대 홈페이지 접속은 정상적으로 이루어졌고 일본에서만 청와대 접속에 장애가 발생한 것이다. 공격자들은 이 사실을 모르고 자축하며 성공을 즐거워해 웃음을 자아내게 했다. 청와대는 중요한 사이트이기 때문에 국가별 접속 서버를 달리하고 있으며, 특정 국가나 IP대역에서 디도스 공격이나 이상 징후가 발생하면 해당 IP대역에서 들어오는 접속을 차단하기 때문에 일본에서는 열리지 않고 한국에서는 정상적으로 오픈되는 현상이 발생했을 것으로 추정된다.


3. [기사] 최근 8개월간 보이스피싱 악성 앱, 2만9천개 탐지…피싱사이트는 월평균 1천500개 수준
[https://www.dailysecu.com/news/articleView.html?idxno=72564]
최근 8개월간 ‘전화 가로채기’ 또는 ‘원격조종’ 같은 신종 보이스피싱 수단으로 이용되고 있는 악성 앱 2만8,950개가 탐지되어 접속차단 조치된 것으로 밝혀졌다. 지난해 보이스피싱 피해액은 4,440억 원으로 전년(2,431억 원)보다 82.7%(2,009억 원) 증가했으며, 해마다 역대 최고 수준을 경신할 정도로 보이스피싱 피해가 커지고 있다. 이에 정부는 작년 말, 국민의 재산을 보호하기 위해 관계기관 합동으로 보이스피싱 종합대책을 발표했고, 금융보안원은 금융회사, 경찰청, 검찰, 각종 포털사이트 등을 사칭하는 피싱 사이트를 탐지하는 시스템을 운용 중이다. 보이스피싱 악성 앱이 일단 설치되면, 112나 금융감독원에 전화를 해도 사기범이 전화를 가로채기 때문에 피해에 무방비로 노출될 수 있으며, 피해자가 사기범의 유도에 넘어가 금융정보를 전달하게 되면 원격조종으로 피해자의 카드앱이나 보험앱 등을 통해 비대면 대출을 실행시키거나 모바일뱅킹으로 계좌를 이체하기 때문에 속수무책으로 당하게 된다. 이러한 신종 보이스피싱 악성 앱 문제를 예방하기 위해 몇몇 은행과 카드사는 최근 모바일앱에 악성 앱을 탐지해 금융거래를 중단시키는 기능을 적용하고 있다.


4. [기사] Russian hacker group patches Chrome and Firefox to fingerprint TLS traffic
[https://www.zdnet.com/article/russian-hacker-group-patches-chrome-and-firefox-to-fingerprint-tls-traffic/]
러시아의 사이버 스파이 해커 그룹이 브라우저의 내부 구성 요소를 수정하기 위해 Chrome 및 Firefox와 같은 로컬에 설치된 브라우저를 패치하는 새로운 기술을 사용한다. 이러한 수정의 최종 목표는 두 브라우저가 HTTPS 연결을 설정하는 방법을 변경하고 감염된 컴퓨터에서 발생하는 TLS 암호화 웹 트래픽에 대해 피해자당 지문을 추가하는 것이다. 이러한 유형의 새로운 공격은 러시아 정부의 보호하에 운영되는 것으로 알려진 잘 알려진 해커 그룹 Turla에 의해 알려졌다. 카스퍼스키 보고서에 따르면 해커들은 피해자를 Reductor라는 원격 액세스 트로이 목마에 감염 시켜 두 브라우저를 수정한다. 이 과정은 먼저 감염된 각 호스트에 그들 자신의 디지털 인증서를 설치하는데, 이것은 해커들이 호스트에서 출발하는 모든 TLS 트래픽을 가로챌 수 있게 할 것이다. 그리고 의사 난수 생성 (PRNG) 기능을 패치하기 위해 Chrome 및 Firefox 설치를 수정하며, 이 기능은 HTTPS 연결을 위한 새 TLS 핸드 셰이크 협상 및 설정 프로세스에 필요한 난수를 생성할 때 사용된다. Turla 해커들은 이러한 오염된 PRNG 기능을 이용하여 모든 새로운 TLS 접속이 시작될 때마다 작은 지문을 추가하고 있으며, 해당 지문을 통해 Turla 그룹은 다양한 웹사이트에 접속하는 동안 희생자의 암호화된 트래픽 흐름을 발견할 수 있을 것이다.  


5. [기사] HildaCrypt Ransomware Developer Releases Decryption Keys
[https://www.bleepingcomputer.com/news/security/hildacrypt-ransomware-developer-releases-decryption-keys/]
HildaCrypt 랜섬웨어의 개발자가 랜섬웨어의 개인 암호 해독 키를 공개하기로 했다. 이 열쇠로 해독기를 만들 수 있어 잠재적 피해자들이 무료로 파일을 복구할 수 있다. 새로운 랜섬웨어 또는 변형이 발견되면 연구원들이 Twitter에 게시하는 것이 일반적이며, 이번 주 연구원 GrujaRS는 새로운 랜섬웨어 변종을 발견하여 STOP 변종으로 식별했다. 그러나 개발자는 해당 연구원에게 연락하여 그것이 잘못된 식별 정보이며 실제로 HildaCrypt Ransomware의 변형이라고 말했다. 그리고 개발자는 랜섬웨어의 개인 암호 해독 마스터키(https://pastebin.com/EDB0PSa9)도 공개하기로 했다. 또한, 개발자는 HildaCrypt 랜섬웨어는 재미로 만들어졌으며 교육을 위한 목적이라고 말했다. 추가로 아무에게도 HildaCrypt 랜섬웨어가 사용되지 않았으며, 누군가 해당 바이너리를 얻었을 때를 대비하여 복호화키를 공개하였다고 말했다. 

첨부파일 첨부파일이 없습니다.
태그 DDoS  Turla  Reductor  HildaCrypt