Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향[2019년 11월 13일] 주요 보안 이슈
작성일 2019-11-13 조회 386

1. [기사] 컴퓨터 사기 범죄자들, 자동화 봇이 아니라 값싼 노동력 선호
[https://www.boannews.com/media/view.asp?idx=84452&page=1&kind=1]
봇을 사용한 가짜 계정 만들기 등 ‘봇 관련’ 활동들이 점점 더 빠르고 쉽게 탐지됨에 따라 사이버 범죄자들 역시 전략을 수정하고 있으며, 최근 사기 전문 범죄자들은 봇 대신 값싼 노동력을 활용하기 시작했다. 보안 업체 아르코스 랩스(Arkose Labs)의 CEO인 케빈 고스초크(Kevin Gosschalk)는 '사이버 공격과 방어도 결국 비용과 경제에 밀접하게 묶인 문제'라고 한다. 가짜 계정을 다량으로 생성하기 위해서 봇이나 자동화 도구를 사용하는 게 훨씬 경제적이지만, 탐지되면서 공격자들이 지불해야 하는 비용이 올라가기 시작했다고 말했다. 게다가 그동안 너무나 많은 데이터 침해 사고가 발생하면서 실제 정상적인 계정 정보가 암시장에 헐값에 돌아다니게 됐었다. 그래서 범죄자들은 ‘인간의 노동력’으로 눈길을 돌렸다. 봇보다 더 싸게 계정을 생성하는 등 ‘사이버 허드렛일’을 할 사람들을 찾기 시작했다는 것이다. 공격자들이 영화감독처럼 자기가 고용한 사람들에게 대본을 나눠주면서 이렇게 저렇게 행동하라고 알려주고, 목표량을 정해주면서 성과금을 주거나 심리적 압박을 주기도 한다고 설명했다. 그리고 사이버 공격자들은 늘 자신들 편에서의 비용을 낮추는 방법을 고민하며, 그것이 이번에는 ‘사람’이 된 것이라고 덧붙였다. 이렇게 값싼 노동력을 제공하는 사람들을 사용했을 때의 또 다른 장점은 ‘사람처럼 보이는 장치’가 필요없게 되면서, 봇 검사 장치를 무사히 통과하여 성공률이 높아진다는 측면에서도 비용이 효율적으로 투자되고 있다고 해석할 수 있다. 


2. [기사] 혹시 협상했나? 호스팅 서비스 SmarterASP.NET, 랜섬웨어에 당해
[https://www.boannews.com/media/view.asp?idx=84456&page=1&kind=1]
웹 호스팅 서비스 플랫폼인 스마터ASP(SmarterASP.NET)가 랜섬웨어 공격에 당했다. 발표된 바에 의하면 이번 랜섬웨어는 고객들의 웹 호스팅용 계정을 암호화하는 데 성공했다고 한다. 즉, 웹사이트를 운영하는데 필요한 파일과 데이터가 접근 불가능한 상태로 변했다는 것이고, 웹사이트나 서비스의 일부 기능이 마비됐다는 뜻이 된다. 랜섬웨어 공격이 벌어진 정확한 일시는 아직 알려지지 않았다. 그리고 11일 스마터 측은 계정 복구 작업이 이뤄지고 있으며, 현재(현지 시각으로 월요일) 90%를 복구하는 데 성공했다고 발표했다. 90%가 정말로 복구된 게 맞는다면, 복구가 지나치게 빠르고 완벽해, 스마터 측이 공격자들에게 돈을 지급하고 암호화 키를 받아낸 것 같다는 의혹이 나오고 있기도 하다. 또한, 공격이 이뤄진 경위나 그것을 발견한 과정, 피해 규모와 복구 방법 등에 대한 정보가 전무하다시피 하므로 의혹은 증폭되고 있다. 그리고 외신인 지디넷(ZDNet)은 스냇치(Snatch)라는 랜섬웨어가 이번 공격의 주범이라고 보도했다. 최근 스마터ASP.NET 외에도 여러 호스팅 서비스가 랜섬웨어에 당했으며, 호스팅 업체를 대상으로 하지 않더라도 랜섬웨어 공격은 계속해서 여러 매체에서 중요한 소식으로 다뤄진다. 특히 올해에는 각종 정부 기관과 시 기관들이 당했다.


3. [기사] Buran ransomware-as-a-service continues to improve
[https://securityaffairs.co/wordpress/93724/cyber-crime/ransomware-as-a-service-buran.html]
최근에 발견된 RaaS (ransomware-as-a-service) Buran은 할인된 라이센스를 제공하여 인기를 얻으려고 시도한다. 지난 5월, McAfee의 지능적 위협 연구팀의 연구원들은 'Buran'이라는 이름의 새로운 랜섬웨어를 발견했다. Buran은 RaaS 모델로 제공되지만 REVil과 같은 다른 랜섬웨어 제품군과 달리 GandCrab은 저자가 계열사로부터 얻은 수입의 25%를 차지한다. 운영자의 광고에 따르면 Buran은 모든 버전의 Windows OS에서 작동한다고 말했지만, McAfee 전문가는 Windows XP와 같은 구형 시스템에서는 작동하지 않는다고 설명했다. 해당 랜섬웨어는 VegaLocker를 기반으로하는 Jumper 랜섬웨어의 진화인 것으로 보이며, Buran은 오프라인 암호 잠금기, 24/7 지원, 글로벌 및 세션 키를 사용하는 안정적인 멀웨어로 광고되며 라이브러리 등 제3자 종속성이 없다. McAfee 전문가들은 Rig EK가 CVE-2018-8174를 악용하여 Buran 랜섬웨어를 유포했다고 말했다. 그리고 개발 면에서 불과 몇 달 사이에 새로운 버전의 Buran을 관찰했기 때문에 앞으로 더 많은 변형이 있을 것으로 예상된다고 말했다. 


4. [기사] YouTube BitCoin Videos Pushing Predator Info-Stealing Trojan
[https://www.bleepingcomputer.com/news/security/youtube-bitcoin-videos-pushing-predator-info-stealing-trojan/]
동영상 등을 이용해 다른 사람의 비트코인을 훔치는 데 사용할 수 있는 가짜 비트코인 주소 개인키 생성기를 홍보하는 신종 사기극이 유튜브에서 벌어지고 있다. 비디오 설명에는 Yandex, Google Drive 및 Mega에서 해당 프로그램을 다운로드하는 링크가 존재하며, 해당 프로그램을 실행하면 암호 및 데이터 도용 트로이 목마에 감염된다. 제공되는 파일은 Crypto World.zip이라고 하며 추출된 파일은 setup.exe 파일을 포함하고 있는데, 여기에는 Predator the Thief 실행 파일이 들어 있는 암호로 보호된 ZIP 파일이 포함되어 있다. 그리고 setup.exe 프로그램은 license.exe로 파일을 .language emplates emp 폴더에 압축을 푸는 트로이 목마이다. 그러면 license.exe 파일이 실행되고 Predator Thief 정보 도용 트로이 목마가 컴퓨터에 설치되어 실행된다. Predator the Thief가 실행되면 멀웨어의 C2 서버와 통신하여 추가 구성 요소, 기타 악성코드를 다운로드하고 공격자에게 정보를 다시 보낸다. 해당 트로이 목마는 피해자의 클립 보드 복사, 웹캠을 통한 기록 및 피해자의 파일 도용을 포함하여 컴퓨터에서 다양한 정보와 암호를 훔칠 수 있다. 


5. [기사] Experts warn of spike in TCP DDoS reflection attacks targeting Amazon, SoftLayer and telco infrastructure
[https://securityaffairs.co/wordpress/93744/cyber-crime/wave-tcp-ddos-reflection-attacks.html]
Radware의 연구원들은 지난 30 일 동안 Amazon, SoftLayer 및 통신 인프라에 타격을 입힌 TCP SYN-ACK DDoS 반사 공격에 대해 경고했다. Radware는 대기업에 대한 TCP 리플렉션 공격을 수행하여 TCP 구현을 악용 한 여러 범죄 캠페인을 관찰했으며, 이 공격은 대상 네트워크에 영향을 미칠뿐만 아니라 전 세계 리플렉션 네트워크에 영향을 미쳐 많은 기업에서 의심되는 SYN-flood 공격을 발생시킨다. 전문가들은 Amazon, SoftLayer, Eurobet Italia SRL, Korea Telecom, HZ Hosting, SK Broadband를 비롯한 많은 회사에 대한 TCP 리플렉션 DDoS 공격을 수행하는 여러 캠페인을 관찰했다. 또한, 10월 대규모 디도스 공격이 온라인 스포츠 도박사이트 Eurobet의 이탈리아 지사 네트워크를 마비시키면서 새로운 대규모 공격이 시작되었다. 이 공격은 며칠 동안 지속되었으며 다른 베팅 네트워크에도 영향을 미쳤다. 그리고 10월 말, Radware는 이탈리아, 한국, 터키의 금융 및 통신 산업에 대한 TCP 리플렉션 DDoS 공격을 포함하는 다른 범죄 캠페인을 목격했다. 

첨부파일 첨부파일이 없습니다.
태그 Snatch  Buran   predator the thief   DDoS