Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향[2019년 11월 6일] 주요 보안 이슈
작성일 2019-11-06 조회 98

1. [기사] 탈북자와 대북 분야 관련자 노린 ‘모바일 APT’ 공격 발견
[https://www.boannews.com/media/view.asp?idx=84302&page=1&kind=1]
이스트시큐리티는 지난 6월부터 탈북자와 대북 단체, 외교, 안보, 통일 분야 관련자 등을 대상으로 지속해서 수행되었던 모바일 APT 공격 ‘드래곤 메신저 오퍼레이션(Dragon Messenger Operation)’이 포착되었다고 5일 밝혔다. 이번 모바일 APT 공격은 특정 정부의 후원은 받는 것으로 알려진 해킹 조직 ‘금성121(Geumseong121)’의 소행으로 추정된다. 이번에 확인된 공격에서는 가짜 웹사이트 제작뿐만 아니라 ‘쓰리마(Threema)’, ‘위커(Wickr)’ 등 실존하는 보안 메신저를 사칭한 모바일 메신저를 직접 제작해 APT 공격에 활용하는 한편, SNS를 활용한 악성 앱 설치 유도 홍보 방식을 사용하기도 하는 등 기존의 공격 방식에서 한 단계 진화한 형태를 선보였다. 만약 공격자의 의도대로 사용 중인 스마트폰에 악성 앱을 설치하게 되면, 가입 시 입력한 계정정보 유출은 물론 스마트폰이 좀비폰 상태로 변해 모든 정보가 외부로 유출될 수 있으며, 실시간으로 도청까지 가능하기 때문에 피해 규모가 더욱 커질 수 있다. 


2. [기사] Mysterious DarkUniverse APT remained undetected for 8 years
[https://securityaffairs.co/wordpress/93463/apt/darkuniverse-apt.html]
카스퍼스키는 Shadow Brokers의 'Lost in Translation' 데이터 덤프를 분석하여 이전에 알려지지 않은 APT 그룹을 발견했다. 2017년에 Shadow Brokers라고 알려진 해커 그룹은 NSA-Linked Equation Group의 무기고에서 악성코드 및 해킹 도구를 훔치고, 'Lost in Translation'이라는 데이터 덤프를 온라인으로 게시했으며, 덤프에는 손상된 시스템에서 다른 APT 그룹의 흔적을 검사하는 파이썬 스크립트(sis.py)가 포함되어있다. DarkUniverse는 2009 년부터 2017년까지 활동했으며, 연구원들은 고유한 코드가 겹치기 때문에 ItaDuke 산하에 있는 그룹임을 확신했다. DarkUniverse APT는 Microsoft Office 문서를 사용하여 스피어 피싱 공격을 수행했으며, 이메일은 각 피해자에 대해 별도로 준비되었다. 또한, 카스퍼스키는 악성 코드가 사용자와 감염된 시스템에 대한 모든 종류의 정보를 수집하는데 필요한 모든 모듈이 포함되어 있으며 처음부터 완전히 개발된 것으로 보인다고 말했다. 


3. [기사] 온라인 게임사 공식 사이트 ‘게시판’으로 악성코드 유포된다
[https://www.boannews.com/media/view.asp?idx=84292&page=1&kind=1]
최근 다양한 게임사의 공식 사이트 내 게시판을 이용한 악성코드 유포 사례가 발견돼 주의가 당부된다. 안랩에 따르면 공격자는 각 게임사의 공식 사이트 내 자유게시판에 게이머들의 관심을 끄는 제목으로 게임 아이템 및 계정 판매 위장 게시물을 업로드했다. 게시물 본문에는 '판매 아이템 목록을 보려면 아래 URL을 주소창에 붙여넣어라'는 내용을 적어 악성 사이트로 이동을 유도했다. 해당 사이트로 이동하면, 화면보호기 확장자를 가진 악성파일(.scr)이 사용자의 PC에 자동으로 다운로드된다. 해당 파일을 실행하면 사용자 PC에 ‘고스트렛(Gh0st RAT)’이라 불리는 원격제어 악성코드가 설치된다.  해당 악성코드는 사용자 PC에 존재하는 취약점을 이용해 감염 PC를 원격으로 조작할 수 있으며, 감염될 경우 공격자가 게임 계정의 정보를 알아내 게임머니를 탈취하는 등 다양한 피해를 일으킬 수 있다.


4. [기사] WordPress Admins Infect Their Sites With WP-VCD via Pirated Plugins
[https://www.bleepingcomputer.com/news/security/wordpress-admins-infect-their-sites-with-wp-vcd-via-pirated-plugins/]
WP-VCD라는 악성코드는 최근 워드프레스 사이트를 타깃으로 가장 활동적인 악성 캠페인에 의해 확산되고 있으며, 최근 몇 달 동안 다른 악성코드에 비해 매주 새로운 사이트들에 설치되고 있다. 공격자는 일반적으로 워드프레스 플랫폼에 영향을 미치는 CMS 보안 취약점을 이용하여 웹 사이트에 침투하고 악성코드를 주입하지만, WP-VCD의 경우 웹 마스터가 감염되어 전파한다. 이는 악성 네트워크의 대규모 네트워크를 통해 현재 배포된 WordPress 테마 및 플러그인의 불법 복제본(nulled이라고도 함)을 사용하여 악성코드가 유포되기 때문에 발생한다. 또한, 동일한 호스팅 환경에 존재할 경우 더 많이 전파되며, 모든 사이트에 백링크를 주입한다. 이러한 백링크들은 감염된 무효화 테마로 더 많은 트래픽을 유도하고, 그 사이클은 계속된다. 그리고 WP-VCD 그룹은 바이러스성 마케팅에 감염된 WordPress 사이트 네트워크를 사용하여 광고 수익을 빠르게 쌓을 수 있다. 


5. [기사] 맥용 마이크로소프트 오피스에서 매크로 관련 취약점 발견돼
[https://www.boannews.com/media/view.asp?idx=84296&page=1&kind=1]
맥킨토시용 마이크로소프트 오피스가 XLM 매크로를 올바로 비활성화하지 않는다는 문제가 발견됐으며, 이는 사용자를 잠재적인 코드 실행 공격에 노출시키는 것이라고 카네기멜론 대학의 CERT/CC에서 경고했다. 맥킨토시용 마이크로소프트 오피스에는 ‘알리지 않고 모든 매크로 비활성화(Disable all macros without notification)’이라는 옵션이 존재하며, 해당 옵션을 활성화할 경우, 프롬프트 창을 띄우는 일 없이 XLM 매크로를 활성화할 수 있다. XLM 매크로는 마이크로소프트 엑셀 4.0 버전까지 존재하는 것으로, 그 이후 버전부터 VBA 매크로로 대체되었지만, 최신 오피스 제품들에서 XLM 매크로에 대한 지원이 삭제된 건 아니다. 또한, XLM 매크로는 ‘심볼릭 링크(Symbolic Link)’라고 알려진 유형의 파일인 SYLK에 통합될 수 있으며,  SYLK 포맷에 임베드 된 매크로들은 ‘안전한 열람(Protected View)’ 옵션에서 열리지 않기 때문에 사용자들은 아무런 보호 장치 없이 문서를 열람하게 된다. 아직 정확한 패치가 나오지 않았기에 CERT/CC는 이메일과 웹 게이트웨이를 설정해서 SYLK 파일을 차단하고, 문제의 비활성화 옵션 대신 ‘모든 매크로 비활성화 시 사용자에게 물어보기(Disable all macros with notification)’ 옵션을 사용하는 것이 좋다고 말했다.

첨부파일 첨부파일이 없습니다.
태그 Geumseong121  DarkUniverse  Gh0st RAT  WP-VCD