Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향[2019년 10월 31일] 주요 보안 이슈
작성일 2019-10-31 조회 437

1. [기사] 원격 접근 툴인 애드윈드, 자바로 위장하는 새 버전 등장
[https://www.boannews.com/media/view.asp?idx=84143&page=1&kind=1]
로그인 크리덴셜 등 다양한 데이터를 노리는 것으로 유명한 원격 접근 툴인 애드윈드 제이랫(Adwind jRAT)이 새로운 방식으로 악성 행위의 흔적을 숨기기 시작했다. 애드윈드는 다중 플랫폼 RAT와 관련이 있으며, 2013년부터 각종 기업체흫 표적 삼아왔다. 크리덴셜, 시스템 정보, 암호화 키와 같이 민감한 정보를 훔치는 것은 물론 키로깅, 스크린숏 캡처, 파일 전송 등의 기능도 가지고 있다. 주로 피싱 이메일과 감염된 소프트웨어, 악성 웹사이트를 통해 전파되며, 윈도우, 리눅스, 맥OS에서 활동할 수 있다. 이번에 발견된 새 버전의 경우 윈도우 운영체제에서 흔히 사용되는 애플리케이션인 익스플로러와 아웃룩이 주된 표적이다. JAR 파일 형태로 전파되고 있으며, 피싱 메일 내 악성 링크나 미리 공격자들이 침해한 사이트를 통해 다운로드되고 있는데, 대부분 워드프레스를 기반으로 한 사이트로부터 문제가 시작된다고 한다.


2. [기사] It’s official, administrative network at Kudankulam Nuclear Power Plant was infected with DTrack
[https://securityaffairs.co/wordpress/93183/security/kudankulam-nuclear-power-plant-infection.html]
처음 사이버 공격 사실을 부인하던 KNPP(Kudankulam Nuclear Power Plant)는 해당 사실을 인정했다. KKNPP는 타밀나두 쿠단쿨람에 위치한 원전 중 최대 규모이며, KNPP가 처음에 네트워크가 안전하고 원자력 발전소의 통제실이 온라인으로 노출되지 않고, 원자력 발전소 제어 시스템에 대한 사이버 공격은 불가능하다고 말했다. 이 공격에 대한 소식은 인도의 NTRO(National Technical Research Organization) 출신인 보안 분석가 Pukhraj Singh는 최근 VirusTotal에 업로드된 악성코드가 KNPP와 KNPP 악성코드 감염과 관련이 있다고 트위터 게시글을 통해 퍼졌다. 그리고 2일 뒤, NPCIL(Nuclear Power Corporation of India Ltd)이 KNPP의 네트워크가 북한과 연계되어 있는 라자루스(Lazarus) APT 그룹에 의해 만들어진 DTrack 악성코드에 감염되었음을 확인했다. 또한, 악성 코드 분석 결과 KNPP의 내부 네트워크에 대한 하드 코딩된 자격 증명이 존재함을 보여 주었으며, 이는 발전소 내부로 확산하는 것을 목표로 하는 공격에 의해 전력 계획에 영향을 미쳤음을 시사한다. 


3. [기사] 메이지카트, 5개월 동안 스킨 케어 브랜드 털었었다
[https://www.boannews.com/media/view.asp?idx=84139&page=1&kind=1]
인기 높은 스킨 케어 브랜드인 퍼스트 에이드 뷰티(First Aid Beauty)의 웹사이트가 전자상거래 공격을 전문으로 하는 해킹 집단인 메이지카트(Magecart)에 해킹을 당해왔다는 사실이 밝혀졌으며, 해당 사이트에 디지털 카드 스키머를 심어 5월 5일부터 10월 25일까지 약 6개월 동안 고객의 지불카드 정보를 빼내 갔다고 한다. 디지털 스키머는 악성 스크립트를 웹사이트에 주입하여 온라인 거래 시 입력되는 카드 정보를 탈취하는 것으로 메이지카트의 소속 공격자들이 선호하는 공격 도구이며, 이번 웹사이트의 경우 신용카드 번호와 주인의 이름, 만료일, CVV 번호를 훔친다. 그리고 해당 스키머는 미국이 아닌 곳에서 웹사이트를 방문하는 사람들과 리눅스 운영체제를 사용하는 사람들의 경우 공격을 받지 않는 것으로 나타났다. 또한, 이 스키머를 최초로 발견한 빌렘 드 그루트는 공격을 실시한 단체의 규모는 그리 크지 않지만, 고급 기술을 갖췄으며,  메이지카트에 속한 다른 단체들이 이런 식의 접근법을 활용하는 것 본 적이 없기 때문에 새롭게 가입한 단체의 공격일 수도 있다고 추측했다. 


4. [기사] Network Solutions data breach – hacker accessed data of more 22 Million accounts
[https://securityaffairs.co/wordpress/93198/data-breach/network-solutions-data-breach.html]
세계 최대 도메인 등록 업체 중 하나인 네트워크 솔루션이 2200만 계정에 영향을 미치는 데이터 유출 사례를 공개했으며, 금융 데이터는 전혀 노출되지 않았다. 2019년 10월 16일, Network Solutions는 2019년 8월 말에 제한된 수의 컴퓨터 시스템에 무단으로 액세스하여, 계정 정보가 액세스된 것을 확인했다. 해당 회사는 Web.com의 자회사이며, Web.com에 따르면 공격자는 Network Solutions, Register.com, Web.com 계정에 대해 약 2천 2백만 건의 레코드에 액세스했을 수 있다. 공격자가 액세스한 데이터(예: 이름, 주소, 전화번호 및 전자 메일 주소)와 회사가 계정 소유자에게 제공하는 서비스에 대한 정보가 포함된다. 또한, 신용 카드 번호를 암호화하고 있으며, 침입으로 인해 신용카드 데이터가 손상되지 않았다고 말했다. 


5. [기사] 21 Million Logins for Top 500 Firms Offered on the Dark Web
[https://www.bleepingcomputer.com/news/security/21-million-logins-for-top-500-firms-offered-on-the-dark-web/]
Fortune지 선정 500대 기업에서 훔친 2천 2백만 건 이상의 로그인 자격 증명이 다크 웹의 여러 곳에서 발견되었으며, 이 중 상당수는 이미 크랙되어 일반 텍스트 형식으로 제공된다. 이 정보는 Tor 네트워크, 웹 포럼, Pastebin, IRC 채널, 소셜 네트워크 및 메신저 채팅 시장과 같은 여러 리소스를 크롤링하여 수집되었다. 대부분은 기술 회사이며 금융 업계가 그 뒤를 이었고, 의료, 에너지, 통신, 소매, 산업, 운송, 항공 우주 및 방위 분야의 기업들도 목록에 있다. ImmuniWeb은 오늘 발표된 보고서에서 지난 12개월 동안 발견된 자격 증명 중 16,055,871건이 손상되었다고 밝혔으며, 머신 러닝을 통해 가짜 유출, 복제 및 기본 암호를 제거하여 데이터 세트의 정확성과 신뢰성을 확인할 수 있었다. 또한, 연구원들은 데이터 유출로 인한 암호의 약 11%가 동일하다고 지적했으며, 이것은 기본 암호, 봇이 계정 생성을 사용하여 설명 할 수 있다. 

첨부파일 첨부파일이 없습니다.
태그 Adwind jRAT  DTrack  Lazarus  Magecart